Опасная новая кампания мобильного шпионского ПО, нацеленная на пользователей криптовалюты, проникла в официальные магазины приложений Apple App Store и Google Play Store. Вредоносное ПО, получившее название SparkKitty, специально разрабатывалось для кражи сид-фраз и учётных данных кошельков, хранящихся в виде фотографий на смартфонах. SparkKitty представляет собой серьёзную эскалацию мобильных угроз для криптоактивов и уже скомпрометировало тысячи пользователей по всему миру.
Передовая кампания вредоносного ПО нацелена на криптоактивы
SparkKitty, преемник более ранней кампании SparkCat, обнаруженной в начале 2025 года, использует изменённые фреймворки и библиотеки для похищения чувствительных данных с устройств iOS и Android. В отличие от традиционного вредоносного ПО, распространяющегося через неофициальные каналы, эта продвинутая угроза была обнаружена внутри множества легитимных приложений, доступных через официальные магазины.
Техническая сложность кампании вызывает тревогу. Например, приложение для обмена сообщениями с функциями криптообмена накопило более 10 000 установок в Google Play, а iOS-приложение под названием «币coin» маскировалось под трекер портфеля. Такой подход позволил вредоносу обойти стандартные процессы проверки безопасности, применяемые магазинами приложений.
Исследователи Kaspersky выяснили, что вредоносное ПО специально ищет изображения, содержащие сид-фразы и приватные ключи, с помощью продвинутой технологии оптического распознавания символов (OCR). При обнаружении эти критические учётные данные немедленно помечаются и отправляются на серверы злоумышленников, что может привести к полному компрометированию кошелька.
Технический анализ раскрывает сложные методы атаки
Техники эксплуатации iOS
В основе iOS-варианта лежит модифицированная версия фреймворка AFNetworking или Alamofire, в которую злоумышленники встроили собственный класс, автоматически запускающийся при старте приложения с помощью селектора +load в Objective-C. Такой подход позволяет вредоносу выполняться сразу при запуске заражённого приложения, обходя обнаружение пользователем.
Процесс установки на iOS эксплуатирует enterprise provisioning profiles — легитимный механизм для внутренних корпоративных приложений. Жертвы обманываются и вручную доверяют сертификату разработчика, связанному с «SINOPEC SABIC Tianjin Petrochemical Co. Ltd.», что даёт SparkKitty системные привилегии. Эта техника социальной инженерии предоставляет вредоносу обширный доступ к функциям устройства и данным пользователя.
Возможности Android-варианта
Android-версия использует модифицированные Java-библиотеки для достижения аналогичных целей. OCR осуществляется через Google ML Kit для разбора изображений. Если обнаруживается сид-фраза или приватный ключ, файл отмечается и отправляется на серверы атакующих. Этот автоматизированный подход позволяет вредоносу быстро обрабатывать большие объёмы изображений и эффективно выявлять ценные криптографические данные.
Обе версии используют сложную инфраструктуру командования и управления. Несколько адресов C2 задействовали зашифрованные AES-256 файлы конфигурации, размещённые на обфусцированных серверах. После расшифровки они указывали на загрузчики полезной нагрузки и конечные точки, например /api/putImages и /api/getImageStatus. Этот уровень шифрования значительно усложняет обнаружение и анализ вредоноса для исследователей безопасности.
Глобальный охват и масштаб распространения
Первоначальный анализ указывает, что вредонос преимущественно нацелен на пользователей в Китае и Юго-Восточной Азии, но эксперты предупреждают, что технически ничто не ограничивает региональную направленность. Поскольку приложения доступны глобально, пользователи криптовалюты по всему миру остаются уязвимыми к аналогичным атакам.
Apple и Google удалили соответствующие приложения из своих магазинов после раскрытия информации, но кампания, вероятно, действовала с начала 2024 года и может продолжаться через побочные версии и клоны в других магазинах. Это означает, что тысячи пользователей уже могли быть скомпрометированы, многие из которых, возможно, не знают о взломе.
Удаление приложений из официальных магазинов не устраняет угрозу полностью. Киберпреступники часто поддерживают альтернативные каналы распространения, включая сторонние магазины приложений и прямую установку, обходящую официальные меры безопасности.
Лучшие практики безопасности криптовалют для мобильных пользователей
Рекомендации по безопасному хранению сид-фраз
Эксперты единодушны: не храните сид-фразы в цифровом виде. Не сохраняйте их в файлах и не фотографируйте камерой телефона. Физические копии сид-фраз устойчивы к взлому и цифровым угрозам. Этот базовый принцип безопасности становится ещё более критичным в свете современных продвинутых мобильных вредоносов.
Рекомендуется сделать несколько копий сид-фразы и хранить их в разных надёжных местах. Такой подход с дублированием защищает от физической утраты и целевых атак, сохраняя возможность восстановления кошелька.
Усиленные меры безопасности для мобильных устройств
Пользователям криптовалют следует внедрять комплексные практики безопасности помимо защиты сид-фраз. При необходимости обмена чувствительной информацией используйте Signal или ProtonMail с end-to-end шифрованием.
Меры безопасности на уровне устройства не менее важны. Сид-фразы лучше хранить на USB-носителях в зашифрованных контейнерах, а не на подключённых к интернету устройствах, уязвимых перед вредоносом.
Преимущества аппаратных кошельков в контексте мобильной безопасности
Кампания SparkKitty подчёркивает фундаментальные уязвимости управления криптовалютой на мобильных устройствах. Аппаратные кошельки, такие как Ledger, защищают сид-фразы за счёт аппаратных методов шифрования, повышая безопасность цифрового хранения. Эти устройства обеспечивают air-gapped защиту, не допуская удалённого доступа к приватным ключам.
Ключевым является многоуровневый подход к безопасности: сочетание офлайн-хранения, строгих процедур резервного копирования, физической защиты и постоянной бдительности против эволюционирующих методов атак. Такой всесторонний подход закрывает множество векторов атаки одновременно.
Реакция отрасли и будущие последствия
Индустрия криптовалют продолжает бороться с продвинутыми мобильными угрозами. Более $1,5 млрд криптовалюты было потеряно из-за мошенничества или краж всего за три месяца 2025 года, что подчёркивает масштаб текущих проблем безопасности сектора.
Крупная фишинговая кампания под названием «PoisonSeed» компрометирует корпоративные почтовые аккаунты для рассылки писем с сид-фразами, что приводит к сливу средств из кошельков. Эта параллельная кампания демонстрирует, что угрозы безопасности в криптовалюте продолжают эволюционировать по множеству платформ и векторов атак.
Рекомендации для немедленных действий
Пользователям криптовалют следует немедленно пересмотреть практики мобильной безопасности. Удалите любые цифровые копии сид-фраз с телефонов, используйте аппаратные кошельки для крупных сбережений и регулярно обновляйте мобильные ОС, чтобы получать последние патчи безопасности.
Кампания SparkKitty служит напоминанием о том, что удобство часто противоречит безопасности в управлении криптоактивами. По мере роста мобильного использования пользователи должны отдавать приоритет правильным практикам безопасности, а не простоте доступа, чтобы защитить свои цифровые активы от всё более изощрённых угроз.
Помните, что ответственность за безопасность криптовалюты лежит полностью на вас. Государственная страховка не защищает криптовалютные активы, поэтому личные меры безопасности являются главной защитой от эволюционирующих кампаний вредоноса, нацеленных на криптоэкосистему.