Атака анатомії: "невидима" еволюція від SparkCat до SparkKitty
23 червня 2025 року команда Kaspersky з дослідження загроз вперше оприлюднила SparkKitty, назвавши його «дуже прихованим шкідливим програмним забезпеченням, яке викрадає зображення». Вірус має те саме походження, що й шкідливе програмне забезпечення SparkCat, виявлене на початку 2024 року, і має схожу структуру коду та спосіб дії атаки, але з більш складними методами. За даними аналітиків Kaspersky, найраніша активність SparkKitty датується лютим 2024 року, спочатку вона була націлена на Південно-Східну Азію та Китай, проникаючи на пристрої користувачів під виглядом криптовалюти, додатків для азартних ігор та обміну повідомленнями.
Основна мета SparkKitty — викрасти всі зображення в альбомі, з акцентом на скріншоти seed-фраз з криптовалютних гаманців. Мнемонічна фраза є єдиним обліковим записом для відновлення криптогаманця, і після компрометації зловмисник може безпосередньо взяти під контроль гаманець користувача та перевести всі активи. У порівнянні зі SparkCat, технологія OCR (оптичне розпізнавання символів) від SparkKitty є більш ефективною, а деякі варіанти використовують Google ML Kit OCR для завантаження тільки зображень з текстом, зменшуючи навантаження на сервер і підвищуючи ефективність крадіжки. Крім того, віруси можуть збирати конфіденційні дані, такі як ідентифікатори пристроїв і файли cookie браузера, збільшуючи ризик крадіжки особистих даних і компрометації облікового запису.
Злам стіни саду: як офіційний магазин став найбільшим вектором атаки?
Найбільш тривожним у SparkKitty є те, що він успішно зламав те, що вважалося найбезпечнішим каналом розподілу додатків – Apple App Store та Google Play.
Механізм перевірки в офіційних магазинах додатків виявився безсилим у цій битві атак і захисту. Зловмисники використовують стратегію "Троянського коня", маскуючи шкідливий код у на перший погляд безпечних додатках:
Втрата контролю App Store: додаток під назвою "币coin" успішно потрапив у магазин, маскуючись під простий інтерфейс для відстеження криптовалютних котирувань. Він використовує довіру користувачів до інструментів котирувань, спонукаючи їх надати доступ до фотографій.
Гугл Плей у зоні ризику: комунікаційний додаток під назвою "SOEX" стверджує, що надає функції "шифрованого чату та торгівлі", загальна кількість завантажень перевищила 10 тисяч. Крім того, додатки для азартних ігор та дорослих також підтвердилися як важливі засоби поширення. За статистикою, з часів SparkCat, загальна кількість завантажень пов'язаних зловмисних додатків на Google Play перевищила 242 тисячі.
Окрім офіційних каналів, зловмисники також використовують багатовимірну матрицю поширення:
Неофіційний розподіл APK: розподіл APK-інсталяційних пакетів, що маскуються під cracked TikTok, популярні блокчейн-ігри або азартні додатки, через рекламу на YouTube, групи в Telegram та сторонні сайти для завантаження.
Зловживання корпоративними сертифікатами iOS: використовуючи програму корпоративних розробників Apple, обійти сувору перевірку App Store та безпосередньо встановлювати додатки на пристрої користувачів через веб-посилання.
Ці програми під час встановлення та роботи часто пакуються в основні функціональні вимоги програми, такі як запити на доступ до альбому, через що користувачі можуть неусвідомлено надати дозволи, що призводить до небажаних наслідків.
Мільйони постраждали, активи обнулилися: ударна атака на «локалізований» азійський ринок
Південно-Східна Азія та китайський ринок стали головними цілями SparkKitty. Це не випадковість, а ретельно спланована стратегія «локалізації»:
Точний профіль користувача: ці регіони є високоактивними ринками для криптовалют та мобільних азартних ігор, з великою базою користувачів та порівняно слабкою обізнаністю щодо безпеки.
Культура та мовні приманки: назви застосунків (як-от "币coin"), дизайн інтерфейсу та рекламні тексти використовують локалізовану мову, а також вбудовують елементи популярних місцевих азартних ігор, що значно знижує рівень обережності користувачів.
Незважаючи на те, що атаки зосереджені в Азії, компанія Касперського попереджає, що SparkKitty технічно є безкордонним, і її код може бути легко модифікований для атак на користувачів у будь-якому регіоні світу. На X (колишній Twitter) експерти з безпеки та крипто KOL розпочали масштабне попередження, закликаючи користувачів перевірити себе, паніка щодо інциденту поширюється в глобальній крипто-спільноті. Її небезпека є багатошаровою:
Активи миттєво зникають: мнемонічна фраза є єдиним ключем для відновлення гаманця. Як тільки вона буде розкрита, зловмисник зможе протягом кількох хвилин перевести всі криптоактиви користувача, і їх практично неможливо буде повернути.
Повна оголеність приватності: у галереї можуть зберігатися величезні обсяги приватної інформації, такі як паспорт, банківська картка, сімейні фотографії тощо. Якщо цю інформацію використають злочинці, наслідки можуть бути жахливими.
Ланцюгові облікові записи: вкрадені куки та облікові дані можуть призвести до взяття під контроль соціальних мереж, електронної пошти або навіть банківських рахунків користувача.
Глибокі роздуми: коли скріншот мнемонічної фрази стає "Ахіллесовою п'ятою"
Платформа активна. Google видалила відповідні програми, а Apple також заблокувала близько ста облікових записів розробників через інцидент SparkCat. Але це більше схоже на безкінечну гру "вибивання щурів". Як тільки зловмисники продовжують знаходити прогалини в механізмі перевірки, нові "трояни" будуть з'являтися безперервно.
Подія SparkKitty стала тривогою для всієї індустрії, вона виявила кілька глибоких дилем:
Кризис довіри до магазинів додатків: віра користувачів у "абсолютну безпеку" офіційних магазинів була зруйнована. Платформи повинні впровадити більш активні та розумні механізми динамічного виявлення поведінки, а не просто покладатися на статичне сканування коду.
Вічна суперечність між звичками користувачів та безпекою: для зручності користувачі схильні використовувати найпростіший спосіб — знімки екрану — для резервного копіювання найважливіших даних. Ця модель поведінки є найбільш вразливим ланкою в системі безпеки.
Проблема "останній кілометр" криптобезпеки: незалежно від того, наскільки безпечний апаратний гаманець, наскільки децентралізовані DeFi-протоколи, якщо користувач зробить помилку в управлінні мнемонічними фразами на цьому "останньому кілометрі", всі захисні лінії виявляться марними.
Як захистити себе? Краще підготуватися до негоди, ніж латати дірки після втрати.
Позбавлення від поганих звичок, фізичне резервне копіювання: повністю відмовтеся від звички зберігати мнемонічні фрази в альбомах, записниках або будь-яких мережевих хмарних сервісах. Поверніться до найпримітивнішого, але найнадійнішого способу: ручне фізичне резервне копіювання та зберігання його в безпечних місцях у різних локаціях.
Принцип мінімальних привілеїв: захищайте дозволи на вашому телефоні, як скупий. Будь-які непотрібні запити на доступ до альбомів, контактів або місцезнаходження слід відхиляти.
Створення середовища "чистої кімнати": розгляньте можливість використання старого телефону, спеціально відокремленого від мережі, для управління криптоактивами, не встановлюючи жодних додатків з неперевірених джерел.
SparkKitty, можливо, буде знищено, але наступний "Kitty" вже в процесі створення. Ця атака нагадує нам, що безпека світу Web3 - це не лише війна кодів і протоколів, а й постійна гра про людську природу, звички та сприйняття. Зберігати пильність перед абсолютною зручністю - це обов'язковий урок для кожного цифрового громадянина.
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Офіційний магазин став «конем троянцем»? Розслідуємо SparkKitty: точне полювання на мнемонічні фрази альбому
Атака анатомії: "невидима" еволюція від SparkCat до SparkKitty
23 червня 2025 року команда Kaspersky з дослідження загроз вперше оприлюднила SparkKitty, назвавши його «дуже прихованим шкідливим програмним забезпеченням, яке викрадає зображення». Вірус має те саме походження, що й шкідливе програмне забезпечення SparkCat, виявлене на початку 2024 року, і має схожу структуру коду та спосіб дії атаки, але з більш складними методами. За даними аналітиків Kaspersky, найраніша активність SparkKitty датується лютим 2024 року, спочатку вона була націлена на Південно-Східну Азію та Китай, проникаючи на пристрої користувачів під виглядом криптовалюти, додатків для азартних ігор та обміну повідомленнями.
Основна мета SparkKitty — викрасти всі зображення в альбомі, з акцентом на скріншоти seed-фраз з криптовалютних гаманців. Мнемонічна фраза є єдиним обліковим записом для відновлення криптогаманця, і після компрометації зловмисник може безпосередньо взяти під контроль гаманець користувача та перевести всі активи. У порівнянні зі SparkCat, технологія OCR (оптичне розпізнавання символів) від SparkKitty є більш ефективною, а деякі варіанти використовують Google ML Kit OCR для завантаження тільки зображень з текстом, зменшуючи навантаження на сервер і підвищуючи ефективність крадіжки. Крім того, віруси можуть збирати конфіденційні дані, такі як ідентифікатори пристроїв і файли cookie браузера, збільшуючи ризик крадіжки особистих даних і компрометації облікового запису.
Злам стіни саду: як офіційний магазин став найбільшим вектором атаки?
Найбільш тривожним у SparkKitty є те, що він успішно зламав те, що вважалося найбезпечнішим каналом розподілу додатків – Apple App Store та Google Play.
Механізм перевірки в офіційних магазинах додатків виявився безсилим у цій битві атак і захисту. Зловмисники використовують стратегію "Троянського коня", маскуючи шкідливий код у на перший погляд безпечних додатках:
Втрата контролю App Store: додаток під назвою "币coin" успішно потрапив у магазин, маскуючись під простий інтерфейс для відстеження криптовалютних котирувань. Він використовує довіру користувачів до інструментів котирувань, спонукаючи їх надати доступ до фотографій.
Гугл Плей у зоні ризику: комунікаційний додаток під назвою "SOEX" стверджує, що надає функції "шифрованого чату та торгівлі", загальна кількість завантажень перевищила 10 тисяч. Крім того, додатки для азартних ігор та дорослих також підтвердилися як важливі засоби поширення. За статистикою, з часів SparkCat, загальна кількість завантажень пов'язаних зловмисних додатків на Google Play перевищила 242 тисячі.
Окрім офіційних каналів, зловмисники також використовують багатовимірну матрицю поширення:
Неофіційний розподіл APK: розподіл APK-інсталяційних пакетів, що маскуються під cracked TikTok, популярні блокчейн-ігри або азартні додатки, через рекламу на YouTube, групи в Telegram та сторонні сайти для завантаження.
Зловживання корпоративними сертифікатами iOS: використовуючи програму корпоративних розробників Apple, обійти сувору перевірку App Store та безпосередньо встановлювати додатки на пристрої користувачів через веб-посилання.
Ці програми під час встановлення та роботи часто пакуються в основні функціональні вимоги програми, такі як запити на доступ до альбому, через що користувачі можуть неусвідомлено надати дозволи, що призводить до небажаних наслідків.
Мільйони постраждали, активи обнулилися: ударна атака на «локалізований» азійський ринок
Південно-Східна Азія та китайський ринок стали головними цілями SparkKitty. Це не випадковість, а ретельно спланована стратегія «локалізації»:
Точний профіль користувача: ці регіони є високоактивними ринками для криптовалют та мобільних азартних ігор, з великою базою користувачів та порівняно слабкою обізнаністю щодо безпеки.
Культура та мовні приманки: назви застосунків (як-от "币coin"), дизайн інтерфейсу та рекламні тексти використовують локалізовану мову, а також вбудовують елементи популярних місцевих азартних ігор, що значно знижує рівень обережності користувачів.
Незважаючи на те, що атаки зосереджені в Азії, компанія Касперського попереджає, що SparkKitty технічно є безкордонним, і її код може бути легко модифікований для атак на користувачів у будь-якому регіоні світу. На X (колишній Twitter) експерти з безпеки та крипто KOL розпочали масштабне попередження, закликаючи користувачів перевірити себе, паніка щодо інциденту поширюється в глобальній крипто-спільноті. Її небезпека є багатошаровою:
Активи миттєво зникають: мнемонічна фраза є єдиним ключем для відновлення гаманця. Як тільки вона буде розкрита, зловмисник зможе протягом кількох хвилин перевести всі криптоактиви користувача, і їх практично неможливо буде повернути.
Повна оголеність приватності: у галереї можуть зберігатися величезні обсяги приватної інформації, такі як паспорт, банківська картка, сімейні фотографії тощо. Якщо цю інформацію використають злочинці, наслідки можуть бути жахливими.
Ланцюгові облікові записи: вкрадені куки та облікові дані можуть призвести до взяття під контроль соціальних мереж, електронної пошти або навіть банківських рахунків користувача.
Глибокі роздуми: коли скріншот мнемонічної фрази стає "Ахіллесовою п'ятою"
Платформа активна. Google видалила відповідні програми, а Apple також заблокувала близько ста облікових записів розробників через інцидент SparkCat. Але це більше схоже на безкінечну гру "вибивання щурів". Як тільки зловмисники продовжують знаходити прогалини в механізмі перевірки, нові "трояни" будуть з'являтися безперервно.
Подія SparkKitty стала тривогою для всієї індустрії, вона виявила кілька глибоких дилем:
Кризис довіри до магазинів додатків: віра користувачів у "абсолютну безпеку" офіційних магазинів була зруйнована. Платформи повинні впровадити більш активні та розумні механізми динамічного виявлення поведінки, а не просто покладатися на статичне сканування коду.
Вічна суперечність між звичками користувачів та безпекою: для зручності користувачі схильні використовувати найпростіший спосіб — знімки екрану — для резервного копіювання найважливіших даних. Ця модель поведінки є найбільш вразливим ланкою в системі безпеки.
Проблема "останній кілометр" криптобезпеки: незалежно від того, наскільки безпечний апаратний гаманець, наскільки децентралізовані DeFi-протоколи, якщо користувач зробить помилку в управлінні мнемонічними фразами на цьому "останньому кілометрі", всі захисні лінії виявляться марними.
Як захистити себе? Краще підготуватися до негоди, ніж латати дірки після втрати.
Позбавлення від поганих звичок, фізичне резервне копіювання: повністю відмовтеся від звички зберігати мнемонічні фрази в альбомах, записниках або будь-яких мережевих хмарних сервісах. Поверніться до найпримітивнішого, але найнадійнішого способу: ручне фізичне резервне копіювання та зберігання його в безпечних місцях у різних локаціях.
Принцип мінімальних привілеїв: захищайте дозволи на вашому телефоні, як скупий. Будь-які непотрібні запити на доступ до альбомів, контактів або місцезнаходження слід відхиляти.
Створення середовища "чистої кімнати": розгляньте можливість використання старого телефону, спеціально відокремленого від мережі, для управління криптоактивами, не встановлюючи жодних додатків з неперевірених джерел.
SparkKitty, можливо, буде знищено, але наступний "Kitty" вже в процесі створення. Ця атака нагадує нам, що безпека світу Web3 - це не лише війна кодів і протоколів, а й постійна гра про людську природу, звички та сприйняття. Зберігати пильність перед абсолютною зручністю - це обов'язковий урок для кожного цифрового громадянина.