Sofisticirani trojanski malver poznat kao SparkKitty aktivno cilja iOS i Android uređaje od početka 2024. godine, prodirući u zvanične prodavnice aplikacija i nepouzdane web stranice kako bi ukrao fotografije iz galerija korisnika.
Ova malver kampanja, koja se čini kao evolucija prethodne operacije SparkCat, predstavlja značajne prijetnje korisnicima prvenstveno u jugoistočnoj Aziji i Kini, bezrazložno eksfiltrirajući lične fotografije sumnjajući na fokus na hvatanje fraza za oporavak novčanika kriptovaluta i drugih osjetljivih vizualnih podataka.
SparkKitty je pokazao izvanrednu sofisticiranost u svojim metodama distribucije, uspješno zaobilazeći procese provjere u prodavnicama aplikacija kako bi stigao do korisnika putem naizgled legitimnih kanala.
Malver je otkriven ugrađen u aplikacije dostupne na Google Play Store i Apple App Store, uključujući aplikacije kao što su 币coin (kripto pratilac) i SOEX (platforma za razmjenu poruka s funkcijama trgovanja kriptovalutama). Sama SOEX aplikacija je zabilježila preko 10.000 preuzimanja prije uklanjanja s Google Playa, ističući sposobnost malvera da postigne široku distribuciju putem povjerljivih platformi.
Na iOS uređajima, SparkKitty iskorištava enterprise provisioning profile, koji su namijenjeni za distribuciju korporativnih aplikacija, ali se mogu zloupotrijebiti za neovlašćeno instaliranje zlonamjernih aplikacija izvan standardnog procesa pregleda Applea. Ova tehnika omogućava malveru da zaobiđe tradicionalne sigurnosne mjere i dođe do korisnika koje bi Appleov kontrolisani ekosistem aplikacija inače zaštitio.
**Tehničke Sposobnosti i Izvršenje**
Malver demonstrira strategije izvršenja specifične za platformu, istovremeno održavajući konzistentne sposobnosti prikrivanja na oba operativna sistema. Android varijante SparkKitty razvijene su pomoću programskih jezika Java i Kotlin, a neke verzije koriste zlonamjerne Xposed module za ubacivanje koda u povjerljive aplikacije. Ove varijante se aktiviraju pri pokretanju aplikacije ili specifičnim interakcijama korisnika, naknadno tražeći dozvole za skladištenje kako bi pristupile slikama uređaja.
Za iOS uređaje, SparkKitty koristi Objective-C mehanizam automatskog učitavanja klase putem selektora `+[AFImageDownloader load]`, koji se odmah aktivira pri pokretanju aplikacije. Malver uključuje sofisticirane provjere kako bi osigurao da se izvršava samo u namijenjenim okruženjima, ispitujući Info.plist datoteku aplikacije za specifične ključeve konfiguracije prije nastavka svojih zlonamjernih aktivnosti.
Za razliku od svog prethodnika, SparkCat, koji je koristio tehnologiju optičkog prepoznavanja znakova (OCR) za selektivno ciljanje specifičnih slika, SparkKitty usvaja agresivniji pristup eksfiltrirajući sve dostupne fotografije iz galerija uređaja. Ova sveobuhvatna strategija krađe podataka značajno povećava vjerovatnoću hvatanja osjetljivih informacija, uključujući fraze za oporavak novčanika kriptovaluta, lične identifikacione dokumente i finansijske zapise. Malver održava lokalnu bazu podataka za praćenje prethodno uploadovanih slika i kontinuirano nadgleda promjene u galeriji radi krađe novo dodanog sadržaja. Nakon prikupljanja, slike se uploaduju na komandno-kontrolne servere putem endpointa `/api/putImages`, koristeći cloud infrastrukturu uključujući AWS S3 i Alibaba OSS za isporuku payload-a i eksfiltraciju podataka.
**Geografsko Ciljanje i Uticaj na Korisnike**
Kampanja SparkKitty izgleda strateški fokusirana na korisnike u jugoistočnoj Aziji i Kini, što je usklađeno s aplikacijama specifično prilagođenim za ove regionalne publike. Malver je otkriven u aplikacijama povezanim s kriptovalutama, kockanjem i zabavom za odrasle, uključujući modifikacije TikTok trojanaca, što ukazuje na namjerno ciljanje vertikala aplikacija visokog rizika gdje bi korisnici mogli češće pohranjivati osjetljive vizualne informacije.
Pojava SparkKittyja predstavlja značajnu eskalaciju u sofisticiranosti mobilnog malvera, demonstrirajući kako akteri prijetnje mogu uspješno prodrijeti u povjerljive kanale distribucije aplikacija. Korisnici bi trebali iskazati izuzetnu opreznost prilikom preuzimanja aplikacija, posebno onih povezanih s kriptovalutama ili finansijskim uslugama, te izbjegavati pohranjivanje osjetljivih snimaka ekrana u galerije uređaja. Sposobnost malvera da zaobiđe sigurnosne mjere i Google Playa i App Storea naglašava kritičnu potrebu za poboljšanom sviješću o mobilnoj sigurnosti i zaštitnim mjerama.
**IoC-ovi**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 SparkKitty Malver Napada Korisnike iOS i Android Uređaja Radi Krađe Fotografija iz Galerije objavljen je prvi put na Cyber Security News.
