Mobilní malware SparkKitty napadá Android i iPhone

Kyberzločinci neustále hledají veškeré dostupné osobní informace, od telefonního čísla až po občanský průkaz. Nyní se objevuje nová hrozba pro uživatele Androidu i iPhonu: SparkKitty, výkonný mobilní malware, který prohledává soukromé fotografie a krade fráze pro zotavení kryptoměn a další citlivá data.

Výzkumníci z bezpečnostní firmy Kaspersky nedávno identifikovali SparkKitty. Tento malware zdá se navazuje na SparkCat, kampaň poprvé hlášenou začátkem letošního roku, která používala rozpoznávání optických znaků (OCR) k extrakci citlivých dat z obrázků, včetně frází pro zotavení kryptoměn.

SparkKitty jde však ještě dál než SparkCat. Podle Kaspersky SparkKitty nahrává obrázky z infikovaných telefonů bez rozlišování. Tato taktika odhaluje nejen data peněženek, ale i jakékoli osobní nebo citlivé fotografie uložené na zařízení. Hlavním cílem se zdají být fráze pro zotavení kryptoměn, ale zločinci by mohli použít jiné obrázky k vydírání nebo jiným škodlivým účelům.

Výzkumníci z Kaspersky uvádějí, že SparkKitty působí nejméně od února 2024. Útočníci jej distribuovali jak oficiálními, tak neoficiálními kanály, včetně Google Play a Apple App Store.

Kaspersky našel SparkKitty zabudovaný do několika aplikací, včetně aplikace s názvem 币coin na iOS a aplikace SOEX na Androidu. Obě aplikace již nejsou v příslušných obchodech dostupné. SOEX, zasílací aplikace s funkcemi souvisejícími s kryptoměnami, dosáhla před odstraněním více než 10 000 stažení z Google Play Store.

Na iOS útočníci doručují malware prostřednictvím falešných softwarových frameworků nebo profilů podnikové instalace, často maskovaných jako legitimní součásti. Po instalaci SparkKitty používá metodu nativní pro programovací jazyk Objective-C od Apple, aby se spustil ihned po spuštění aplikace. Zkontroluje interní konfigurační soubory aplikace, aby se rozhodlo, zda se má spustit, a poté tiše začne monitorovat fotoknihovnu uživatele.

Na Androidu se SparkKitty ukrývá v aplikacích napsaných v Javě nebo Kotlinu a někdy používá škodlivé moduly Xposed nebo LSPosed. Aktivuje se při spuštění aplikace nebo po otevření konkrétní obrazovky. Malware poté dešifruje konfigurační soubor ze vzdáleného serveru a začne nahrávat obrázky, metadata zařízení a identifikátory.

Na rozdíl od tradičního spyware se SparkKitty zaměřuje na fotografie, zejména ty, které obsahují fráze pro zotavení kryptoměn, snímky obrazovky peněženek, identifikační doklady nebo citlivé dokumenty. Namísto pouhého monitorování aktivity SparkKitty nahrává obrázky ve velkém množství. Tento přístup usnadňuje zločincům prohledávání a extrakci cenných osobních údajů.

Doporučení pro ochranu:

1) Držte se důvěryhodných vývojářů: Vyhněte se stahování neznámých aplikací, zejména pokud mají málo recenzí nebo stažení. Vždy před instalací čehokoli zkontrolujte jméno a historii vývojáře.

2) Zkontrolujte oprávnění aplikace: Buďte opatrní u aplikací, které požadují přístup k vašim fotografiím, zprávám nebo souborům bez zřejmého důvodu. Pokud se něco zdá podezřelé, odmítněte oprávnění nebo aplikaci odinstalujte.

3) Udržujte své zařízení aktualizované: Instalujte aktualizace systému a zabezpečení, jakmile jsou k dispozici. Tyto aktualizace často opravují zranitelnosti, které malware může zneužívat.

4) Používejte mobilní bezpečnostní software: Nejlepším způsobem, jak se chránit před škodlivým softwarem, je mít nainstalovaný silný antivirový software na všech vašich zařízeních.

Apple i Google po upozornění identifikované aplikace odstranily, ale stále zůstávají otázky, jak SparkKitty v první řadě obešel jejich procesy kontroly aplikací. S rostoucím počtem aplikací a jejich složitostí budou muset nástroje pro jejich kontrolu vývoj následovat. Jinak se incidenty jako tento budou i nadále proklouzávat.