2024 februárjától kezdődően egy új mobil kártevő, a SparkKitty aktív terjedését figyelték meg szakértők, amely Android és iOS platformokat egyaránt célba vesz. A Kaspersky jelentése szerint ez a kártevő egy korábbi malware, a SparkCat továbbfejlesztett változata lehet. Míg a SparkCat optikai karakterfelismeréssel (OCR) lopta el a kriptotárcák visszaállító kulcsait tartalmazó képeket, a SparkKitty már ennél is szélesebb körű adatgyűjtést végez.
Működési elv és támadási mechanizmus
A SparkKitty elsődleges célja a mobil eszközök galériájában található képek eltulajdonítása, különösen azon képeké, amelyek visszaállítási kulcsokat (seed phrase) tartalmazhatnak. Ezek az adatok lehetővé teszik a kriptotárcák teljes hozzáférésének visszaszerzését más eszközön, ezért különösen értékes célpontok a támadók számára. A kártevő különböző módokon kerülhet az eszközökre: hivatalos alkalmazásboltokon (Google Play, Apple App Store) keresztül vagy nem hivatalos forrásokból, például módosított alkalmazások vagy enterprise provisioning profilok használata esetén. Az érintett alkalmazások többféle tematikát fedtek le, beleértve az üzenetküldő és pénzügyi funkciókat ellátó appokat, de kaszinós és felnőtt tartalmakat kínáló alkalmazások is érintettek voltak.
Platformspecifikus technikai részletek
iOS esetén:
- A SparkKitty kártékony kódját álcázott keretrendszerekbe (pl. AFNetworking.framework, libswiftDarwin.dylib) ágyazzák.
- Az alkalmazás betöltődésekor az Objective-C +load metódus segítségével automatikusan elindul a kártevő.
- A működés előtt egy konfigurációs ellenőrzés történik, amely az Info.plist fájl kulcsait vizsgálja.
- Galériahozzáférést kér, és ha a felhasználó ezt engedélyezi, figyeli a fotótárat, majd minden új vagy korábban nem feltöltött képet feltölt a vezérlőszerverre (C2).
Android esetén:
- A malware Java/Kotlin alapú alkalmazásokba van beépítve, gyakran rosszindulatú Xposed vagy LSPosed modulok révén.
- Az alkalmazásindítás során vagy bizonyos felhasználói műveletek hatására aktiválódik.
- AES-256 (ECB mód) titkosítással lehívja a távoli konfigurációs fájlt, amely tartalmazza a C2 szerverek URL-jeit.
- A galéria eléréséhez tárhelyhozzáférést kér, és a képekkel együtt eszközazonosítókat, illetve metaadatokat is feltölt.
- Bizonyos változatai a Google ML Kit OCR technológiáját használják, hogy csak a szöveget tartalmazó képeket küldjék el.
Terjesztési vektorok és észlelhetőség
A SparkKitty azon ritka kártevők közé tartozik, amelyek képesek voltak áthatolni a hivatalos alkalmazásboltok biztonsági ellenőrzésein. A vizsgált alkalmazások több tízezer letöltést értek el, mielőtt eltávolították volna őket. A nem hivatalos forrásokon keresztül terjedő változatokat gyakran módosított, jól ismert appok formájában osztják meg, például népszerű közösségi média platformok hamisított verziói révén. A kártevő alacsony szintű működése és alkalmazáson belüli rejtettsége miatt a felhasználók számára nehezen észlelhető. A malware gyakran valódi funkciókat is kínál, ezzel álcázva a háttérben végzett illegális tevékenységeit.
Megelőzés és védekezés
A SparkKitty újabb példája annak, hogy még a hivatalos forrásból származó szoftverek is hordozhatnak kockázatot. Ezért minden alkalmazást alaposan meg kell vizsgálni, különös figyelmet fordítva a következő jelekre:
- gyanúsan pozitív értékelések,
- ismeretlen vagy kétes fejlesztői háttér,
- szokatlanul alacsony letöltésszám mellett nagy mennyiségű pozitív visszajelzés.
Alkalmazások telepítése során mindig indokolt gyanakvással kezelni a galéria vagy tárhely elérésére vonatkozó kérelmeket, különösen akkor, ha ezek nem kapcsolódnak közvetlenül az app alapfunkcióihoz. iOS rendszeren kerülni kell az ismeretlen forrásból származó konfigurációs profilok vagy tanúsítványok telepítését, míg Androidon érdemes bekapcsolni a Google Play Protect védelmi funkciót, és rendszeresen átfogó eszközellenőrzést végezni.
Összegzés
A SparkKitty kártevő megjelenése a kriptovaluta-felhasználókra leselkedő veszélyekre világít rá, különösen akkor, ha visszaállítási kulcsaikat digitális formában, mobil eszközön tárolják. A képek eltulajdonítása mellett a kártevő más célokra – például zsarolásra – is felhasználhatja az adatokat, ha érzékeny vagy személyes információkat tartalmaznak. A kriptotárcák helyreállító kódjainak biztonságos, offline tárolása ezért kulcsfontosságú a digitális vagyon megóvása érdekében.