V obchodoch Google Play a Apple App Store bol odhalený nový škodlivý softvér s názvom SparkKitty, ktorý cieli na používateľov zariadení Android aj iOS. Jeho primárnym cieľom je získať citlivé frázy na obnovu kryptomenových peňaženiek priamo z fotogalérie zariadenia.
Tento nebezpečný malvér predstavuje evolúciu staršieho SparkCat, ktorý podľa výskumníkov spoločnosti Kaspersky využíval technológiu OCR (optické rozpoznávanie znakov) na čítanie seed fráz z obrázkov uložených v zariadeniach.
SparkKitty však zachádza ešte ďalej – nevyberá si cielené súbory, ale bez rozdielu exfiltruje všetky obrázky z galérie. To znamená, že ak ste si omylom uložili seed frázu ako snímku obrazovky, môžu byť vaše kryptomeny v ohrození. V niektorých prípadoch by mohli byť tieto údaje zneužité aj na vydieranie, ak sa na fotografiách nachádza citlivý obsah.
SparkKitty sa aktívne šíri minimálne od februára 2024, pričom využíva ako oficiálne obchody (Google Play, App Store), tak aj neoficiálne distribučné kanály.
Medzi identifikované aplikácie, ktoré tento malvér obsahovali, patrili:
- 币coin (Apple App Store)
- SOEX (Google Play) – aplikácia so správami a funkciou výmeny kryptomien, ktorá mala viac než 10 000 stiahnutí.
Okrem toho sa SparkKitty objavil aj v upravených verziách TikToku, hazardných hrách, kasínových aplikáciách a iných pochybných klonoch, distribuovaných mimo oficiálnych obchodov.
Po nainštalovaní si aplikácia vyžiada prístup do fotogalérie. Ak ho používateľ udelí:
- Na iOS SparkKitty sleduje zmeny v galérii a odosiela nové aj staršie obrázky.
- Na Androide nahráva fotky spolu s metadátami a ID zariadenia, pričom niektoré verzie používajú Google ML Kit na analýzu obrázkov a zameriavajú sa len na tie, ktoré obsahujú text.
SparkKitty následne dešifruje konfiguračný súbor, získa adresy C2 serverov a pokračuje v exfiltrácii údajov.
Ako sa chrániť:
- Nikdy neukladajte seed frázy ako obrázky do telefónu.
- Sťahujte aplikácie len od overených vývojárov a dávajte si pozor na podozrivo dobré recenzie či nízky počet stiahnutí.
- V systéme Android majte zapnutý Google Play Protect a pravidelne skenujte zariadenie.
- Nepovoľujte zbytočné oprávnenia – ak aplikácia nemá dôvod na prístup k galérii, zamietnite ho.
- V systéme iOS sa vyhýbajte inštalácii profilov alebo certifikátov mimo dôveryhodných zdrojov.
Samozrejme, ak máte tieto aplikácie nainštalované v smartfóne, tak ich okamžite odstráňte.
