SparkKitty
Az SparkKitty egy új generációs mobil spyware, ami Android és iOS eszközöket egyaránt megfertőz, célja pedig a kriptotárcákhoz kapcsolódó screenshotok megszerzése, de nem válogat, minden galériában szereplő képet megszerez. Aktiválása 2024 februárja óta folyik, és egyértelműen követi a korábbi SparkCat kampányt.
Android esetén a fertőzés hivatalos Google Playes appokon keresztül történik – például a SOEX messenger alkalmazás több mint 10 000 alkalommal letöltött verziójában volt jelen –, de terjesztik módosított TikTok-klónok, szerencsejáték- és kripto appok is káros forrásból. A malware Java vagy Kotlin formátumú, egyes verziók Xposed modulon keresztül működnek, és a galériafotókat– beleértve a kripto seed phrase screenshotokat – feltöltik a támadók szervereire.
iOS-en a veszélyt hivatalos App Store appok – például a kínai 币coin – hordozzák, valamint phishing oldalakról telepített, vállalati (enterprise) provisioning profillal telepíthető, backdoor-lal módosított appok. Ezek a galériafigyelést már a +[AFImageDownloader load] betöltéskor végrehajtják, és új fotók után folyamatosan pásztázzák az albumot.
A képek között nemcsak a kriptotárca seed phrase-eket keresik OCR-ral, de minden más érzékeny tartalmat is kiszűrhetnek, ami később zsarolásra vagy adatlopásra használható. A kampány hatóköre elsősorban Kína és Délkelet-Ázsia, de sem technikailag, sem szervezetileg nincsenek területi korlátok.
