Атака анатомии: «невидимая» эволюция от SparkCat к SparkKitty
23 июня 2025 года команда по исследованию угроз Kaspersky впервые раскрыла SparkKitty, назвав его "высоко замаскированным вредоносным ПО для кражи изображений". Этот вирус имеет общее происхождение с вредоносным ПО SparkCat, обнаруженным в начале 2024 года, и делит схожую структуру кода и методы атаки, однако технологии более усовершенствованы. Аналитики Kaspersky отметили, что первая активность SparkKitty восходит к февралю 2024 года, когда он первоначально нацеливался на страны Юго-Восточной Азии и Китай, маскируясь под приложения для криптовалют, азартных игр и общения, проникая в устройства пользователей.
Основная цель SparkKitty — украсть все изображения в альбоме, уделяя особое внимание скриншотам seed-фраз из криптовалютных кошельков. Мнемоническая фраза является единственным удостоверением для восстановления криптокошелька, и после компрометации злоумышленник может напрямую получить контроль над кошельком пользователя и перевести все активы. По сравнению со SparkCat, технология OCR (Optical Character Recognition) SparkKitty более эффективна, а некоторые варианты используют Google ML Kit OCR для загрузки только изображений с текстом, снижая нагрузку на сервер и повышая эффективность краж. Кроме того, вирусы могут собирать конфиденциальные данные, такие как идентификаторы устройств и файлы cookie браузера, что повышает риск кражи личных данных и компрометации учетной записи.
Взлом огороженного сада: как официальный магазин стал крупнейшей векторной атакой?
Наиболее тревожным в SparkKitty является то, что он успешно преодолел самые безопасные каналы распространения приложений — Apple App Store и Google Play.
Механизм проверки официального магазина приложений оказывается бессильным в этой атаке и обороне. Нападающие используют стратегию "Троянского коня", маскируя вредоносный код в на вид безобидных приложениях:
Упадок App Store: приложение под названием "币coin" успешно размещено, маскируясь под простой интерфейс отслеживания криптовалютных котировок. Оно использует доверие пользователей к инструментам котировок, чтобы заставить их предоставить доступ к фотогалерее.
Основной проблемой Google Play является приложение для общения под названием "SOEX", которое утверждает, что предоставляет функции "шифрованного чата и торговли", с общим количеством загрузок более 10 000 раз. Кроме того, приложения для азартных игр и взрослые игры также были подтверждены как важные средства распространения. По статистике, с периода SparkCat до настоящего времени общее количество загрузок связанных вредоносных приложений на Google Play превысило 242 000 раз.
Кроме официальных каналов, злоумышленники также использовали многомерную матрицу распространения:
Неофициальное распространение APK: распространение APK-установочных пакетов, маскирующихся под взломанные версии TikTok, популярные блокчейн-игры или игровые приложения, через рекламу на YouTube, группы в Telegram и сторонние сайты для загрузки.
Злоупотребление корпоративными сертификатами iOS: использование программы корпоративных разработчиков Apple для обхода строгой проверки App Store и установки приложений непосредственно на устройства пользователей через веб-ссылки.
Эти приложения при установке и запуске запрашивают разрешения (например, на доступ к альбому), которые часто представляются как основные функциональные требования приложения, что позволяет пользователям легко предоставить доступ, не осознавая этого.
Миллионы пострадавших, активы обесценены: локализованная блиц-атака на рынок Азии
Юго-восточная Азия и китайский рынок стали главной целью SparkKitty. Это не случайность, а тщательно продуманная стратегия «локализации»:
Точная характеристика пользователей: Эти регионы являются высокоактивными рынками для криптовалют и мобильных азартных игр, с большим числом пользователей и относительно низкой осведомленностью о безопасности.
Культура и языковые приманки: названия приложений (такие как "币coin"), дизайн интерфейса и рекламные тексты используют локализованный язык, даже внедряя элементы местных популярных азартных игр, что значительно снижает настороженность пользователей.
Несмотря на то, что атаки сосредоточены в Азии, компания "Касперский" предупреждает, что SparkKitty технически не имеет границ, и его код может быть легко изменен для атаки пользователей в любом регионе мира. На X (бывший Twitter) эксперты по безопасности и криптовалютные KOL начали массовое предупреждение, призывая пользователей к самопроверке, и паника по поводу инцидента распространяется по всему криптосообществу. Его вред многоуровневый:
Активы мгновенно испаряются: мнемоническая фраза является единственным ключом для восстановления кошелька. Как только она будет скомпрометирована, злоумышленник сможет за считанные минуты переместить все криптоактивы пользователя, и практически невозможно будет их вернуть.
Конфиденциальность полностью обнажена: в альбоме может быть большое количество личной информации, такой как удостоверения личности, паспорта, банковские карты и семейные фотографии, и как только она используется черной индустрией, последствия становятся невообразимыми.
Цепочные аккаунты: украденные куки и учетные данные могут привести к захвату учетных записей пользователей в социальных сетях, электронной почте и даже банках.
Глубокие размышления: когда скриншоты сид-фраз становятся "Ахиллесовой пятой"
Платформенные компании предпринимают действия. Google удалил соответствующие приложения, Apple также ранее заблокировала около ста учетных записей разработчиков из-за инцидента с SparkCat. Но это больше похоже на бесконечную игру в «молота». Пока злоумышленники могут постоянно находить уязвимости в механизмах проверки, новые «трояны» будут появляться бесконечно.
Событие SparkKitty прозвучало как тревожный сигнал для всей отрасли, оно выявило несколько глубоких проблем:
Кризис доверия к магазинам приложений: слепая вера пользователей в "абсолютную безопасность" официальных магазинов была разрушена. Платформы должны внедрить более активные и интеллектуальные механизмы динамического поведения, а не полагаться только на статическое сканирование кода.
Вечное противоречие между привычками пользователей и безопасностью: ради удобства пользователи склонны использовать самый простой способ — скриншоты — для резервного копирования самых важных данных. Эта модель поведения как раз и является самой уязвимой частью системы безопасности.
Проблема "последней мили" в криптобезопасности: независимо от того, насколько безопасны аппаратные кошельки и децентрализованы ли протоколы DeFi, если пользователь ошибается в управлении сид-фразой на этом "последнем километре", все защитные линии окажутся бесполезными.
Как защитить себя? Лучше предотвратить, чем латать дыры после бедствия.
Избавьтесь от плохих привычек, физическое резервное копирование: полностью откажитесь от хранения мнемонических фраз в альбомах, заметках или любых облачных сервисах. Вернитесь к самому первобытному и безопасному способу: пишите физические резервные копии от руки и храните их в безопасных местах в разных локациях.
Принцип минимальных привилегий: охраняйте права доступа к вашему телефону, как скупой. Все ненужные запросы на доступ к альбомам, контактам и местоположению должны быть отклонены.
Создание среды «чистой комнаты»: рассмотрите возможность использования старого телефона, специально предназначенного для управления криптоактивами и изолированного от сети, не устанавливая приложения из ненадежных источников.
SparkKitty может быть уничтожен, но следующий «Kitty» уже на подходе. Эта атака напоминает нам о том, что безопасность в мире Web3 — это не только война кодов и протоколов, но и постоянная борьба, связанная с человеческой природой, привычками и восприятием. Оставаться бдительными перед абсолютным удобством — это обязательный урок для каждого цифрового гражданина.
Посмотреть Оригинал
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Официальный магазин стал «троянским конем»? Разоблачение SparkKitty: точечная охота на мнемонические фразы альбомов.
Атака анатомии: «невидимая» эволюция от SparkCat к SparkKitty
23 июня 2025 года команда по исследованию угроз Kaspersky впервые раскрыла SparkKitty, назвав его "высоко замаскированным вредоносным ПО для кражи изображений". Этот вирус имеет общее происхождение с вредоносным ПО SparkCat, обнаруженным в начале 2024 года, и делит схожую структуру кода и методы атаки, однако технологии более усовершенствованы. Аналитики Kaspersky отметили, что первая активность SparkKitty восходит к февралю 2024 года, когда он первоначально нацеливался на страны Юго-Восточной Азии и Китай, маскируясь под приложения для криптовалют, азартных игр и общения, проникая в устройства пользователей.
Основная цель SparkKitty — украсть все изображения в альбоме, уделяя особое внимание скриншотам seed-фраз из криптовалютных кошельков. Мнемоническая фраза является единственным удостоверением для восстановления криптокошелька, и после компрометации злоумышленник может напрямую получить контроль над кошельком пользователя и перевести все активы. По сравнению со SparkCat, технология OCR (Optical Character Recognition) SparkKitty более эффективна, а некоторые варианты используют Google ML Kit OCR для загрузки только изображений с текстом, снижая нагрузку на сервер и повышая эффективность краж. Кроме того, вирусы могут собирать конфиденциальные данные, такие как идентификаторы устройств и файлы cookie браузера, что повышает риск кражи личных данных и компрометации учетной записи.
Взлом огороженного сада: как официальный магазин стал крупнейшей векторной атакой?
Наиболее тревожным в SparkKitty является то, что он успешно преодолел самые безопасные каналы распространения приложений — Apple App Store и Google Play.
Механизм проверки официального магазина приложений оказывается бессильным в этой атаке и обороне. Нападающие используют стратегию "Троянского коня", маскируя вредоносный код в на вид безобидных приложениях:
Упадок App Store: приложение под названием "币coin" успешно размещено, маскируясь под простой интерфейс отслеживания криптовалютных котировок. Оно использует доверие пользователей к инструментам котировок, чтобы заставить их предоставить доступ к фотогалерее.
Основной проблемой Google Play является приложение для общения под названием "SOEX", которое утверждает, что предоставляет функции "шифрованного чата и торговли", с общим количеством загрузок более 10 000 раз. Кроме того, приложения для азартных игр и взрослые игры также были подтверждены как важные средства распространения. По статистике, с периода SparkCat до настоящего времени общее количество загрузок связанных вредоносных приложений на Google Play превысило 242 000 раз.
Кроме официальных каналов, злоумышленники также использовали многомерную матрицу распространения:
Неофициальное распространение APK: распространение APK-установочных пакетов, маскирующихся под взломанные версии TikTok, популярные блокчейн-игры или игровые приложения, через рекламу на YouTube, группы в Telegram и сторонние сайты для загрузки.
Злоупотребление корпоративными сертификатами iOS: использование программы корпоративных разработчиков Apple для обхода строгой проверки App Store и установки приложений непосредственно на устройства пользователей через веб-ссылки.
Эти приложения при установке и запуске запрашивают разрешения (например, на доступ к альбому), которые часто представляются как основные функциональные требования приложения, что позволяет пользователям легко предоставить доступ, не осознавая этого.
Миллионы пострадавших, активы обесценены: локализованная блиц-атака на рынок Азии
Юго-восточная Азия и китайский рынок стали главной целью SparkKitty. Это не случайность, а тщательно продуманная стратегия «локализации»:
Точная характеристика пользователей: Эти регионы являются высокоактивными рынками для криптовалют и мобильных азартных игр, с большим числом пользователей и относительно низкой осведомленностью о безопасности.
Культура и языковые приманки: названия приложений (такие как "币coin"), дизайн интерфейса и рекламные тексты используют локализованный язык, даже внедряя элементы местных популярных азартных игр, что значительно снижает настороженность пользователей.
Несмотря на то, что атаки сосредоточены в Азии, компания "Касперский" предупреждает, что SparkKitty технически не имеет границ, и его код может быть легко изменен для атаки пользователей в любом регионе мира. На X (бывший Twitter) эксперты по безопасности и криптовалютные KOL начали массовое предупреждение, призывая пользователей к самопроверке, и паника по поводу инцидента распространяется по всему криптосообществу. Его вред многоуровневый:
Активы мгновенно испаряются: мнемоническая фраза является единственным ключом для восстановления кошелька. Как только она будет скомпрометирована, злоумышленник сможет за считанные минуты переместить все криптоактивы пользователя, и практически невозможно будет их вернуть.
Конфиденциальность полностью обнажена: в альбоме может быть большое количество личной информации, такой как удостоверения личности, паспорта, банковские карты и семейные фотографии, и как только она используется черной индустрией, последствия становятся невообразимыми.
Цепочные аккаунты: украденные куки и учетные данные могут привести к захвату учетных записей пользователей в социальных сетях, электронной почте и даже банках.
Глубокие размышления: когда скриншоты сид-фраз становятся "Ахиллесовой пятой"
Платформенные компании предпринимают действия. Google удалил соответствующие приложения, Apple также ранее заблокировала около ста учетных записей разработчиков из-за инцидента с SparkCat. Но это больше похоже на бесконечную игру в «молота». Пока злоумышленники могут постоянно находить уязвимости в механизмах проверки, новые «трояны» будут появляться бесконечно.
Событие SparkKitty прозвучало как тревожный сигнал для всей отрасли, оно выявило несколько глубоких проблем:
Кризис доверия к магазинам приложений: слепая вера пользователей в "абсолютную безопасность" официальных магазинов была разрушена. Платформы должны внедрить более активные и интеллектуальные механизмы динамического поведения, а не полагаться только на статическое сканирование кода.
Вечное противоречие между привычками пользователей и безопасностью: ради удобства пользователи склонны использовать самый простой способ — скриншоты — для резервного копирования самых важных данных. Эта модель поведения как раз и является самой уязвимой частью системы безопасности.
Проблема "последней мили" в криптобезопасности: независимо от того, насколько безопасны аппаратные кошельки и децентрализованы ли протоколы DeFi, если пользователь ошибается в управлении сид-фразой на этом "последнем километре", все защитные линии окажутся бесполезными.
Как защитить себя? Лучше предотвратить, чем латать дыры после бедствия.
Избавьтесь от плохих привычек, физическое резервное копирование: полностью откажитесь от хранения мнемонических фраз в альбомах, заметках или любых облачных сервисах. Вернитесь к самому первобытному и безопасному способу: пишите физические резервные копии от руки и храните их в безопасных местах в разных локациях.
Принцип минимальных привилегий: охраняйте права доступа к вашему телефону, как скупой. Все ненужные запросы на доступ к альбомам, контактам и местоположению должны быть отклонены.
Создание среды «чистой комнаты»: рассмотрите возможность использования старого телефона, специально предназначенного для управления криптоактивами и изолированного от сети, не устанавливая приложения из ненадежных источников.
SparkKitty может быть уничтожен, но следующий «Kitty» уже на подходе. Эта атака напоминает нам о том, что безопасность в мире Web3 — это не только война кодов и протоколов, но и постоянная борьба, связанная с человеческой природой, привычками и восприятием. Оставаться бдительными перед абсолютным удобством — это обязательный урок для каждого цифрового гражданина.