Malware SparkKitty richt zich via geïnfecteerde apps op cryptoportefeuilles

Key takeaways

SparkKitty-malware richt zich op cryptocurrencyportefeuilles via geïnfecteerde apps.
De malware steelt fotogalerijen en extraheert cryptogerelateerde informatie met behulp van OCR-technologie.
SparkKitty houdt zich bezig met systematische cryptomijnbouw, waardoor cybercriminelen continu inkomsten genereren.

Geavanceerde mobiele malware met de naam ‘SparkKitty’ is geïnfiltreerd in zowel de Apple App Store als Google Play en heeft het gemunt op de cryptocurrencyportefeuilles van gebruikers. Deze campagne, actief sinds februari 2024, treft voornamelijk gebruikers in Zuidoost-Azië en China. Dat meldt Kaspersky.

SparkKitty doet zich voor als legitieme applicaties zoals TikTok-mods, cryptoportfoliotrackers, gokspelletjes en adultcontentapps, en vraagt toegang tot fotogalerijen onder schijnbaar onschuldige voorwendselen. Geïnfecteerde apps, waaronder “Soex Wallet Tracker” en “Coin Wallet Pro”, hebben de beveiligingsmaatregelen omzeild en duizenden downloads verzameld.

Hoe werkt de malware?

Op iOS-apparaten verbergt de malware zich in aangepaste frameworks zoals AFNetworking, waarbij gebruik wordt gemaakt van het Enterprise provisioning-systeem van Apple om niet-ondertekende toepassingen te installeren die de standaard beveiligingscontroles omzeilen. Het beschadigde framework behoudt de oorspronkelijke functionaliteit, maar bevat in het geheim mogelijkheden voor het stelen van foto’s die geactiveerd worden wanneer aan specifieke voorwaarden wordt voldaan. Op Android-platformen wordt kwaadaardige code direct in de toegangspunten van apps ingesloten, waarbij cryptocurrencythema’s worden gebruikt om slachtoffers aan te trekken.

De gevaarlijkste eigenschap van SparkKitty is de geavanceerde OCR-technologie (optische tekenherkenning). Door gebruik te maken van Google ML Kit, identificeert het automatisch cryptogerelateerde informatie uit fotogalerijen en haalt deze eruit, zonder handmatige controle. In tegenstelling tot eerdere malware die vertrouwt op diefstal in bulk en handmatige analyse, richt SparkKitty zich op privésleutels en portemonneeadressen die vaak door gebruikers worden gescreend voor back-up, een praktijk die wordt afgeraden vanwege de veiligheidsrisico’s.

Systematische cryptomining

De OCR-implementatie van de malware demonstreert geraffineerde patroonherkenning, waarbij afbeeldingen op basis van tekstinhoud worden gefilterd en alleen die afbeeldingen die cryptogerelateerde informatie bevatten naar commando- en controleservers worden gestuurd. Deze gerichte aanpak minimaliseert de gegevensoverdracht en maximaliseert tegelijkertijd de waarde van gestolen informatie, waardoor aanvallers grotere groepen slachtoffers efficiënt kunnen verwerken.

Verder onderzoek bracht geavanceerdere implementaties aan het licht. Sommige versies richten zich op back-upprocedures door valse beveiligingswaarschuwingen weer te geven en gebruikers via social engineering te dwingen hun seed phrases te onthullen. De Accessibility Logger legt deze informatie dan direct vast in plaats van alleen te vertrouwen op bestaande schermafbeeldingen.

Naast individuele diefstal strekt de impact van SparkKitty zich uit tot systematische cryptomijnbouw. Gerelateerde campagnes zoals de Librarian Ghouls APT-groep combineren diefstal van referenties met ongeautoriseerde Monero-mijnbouw op gecompromitteerde apparaten. Deze aanvallen met twee doelen genereren doorlopende inkomstenstromen voor cybercriminelen, die bestaande cryptobezittingen stelen en de computermiddelen van slachtoffers gebruiken voor het extra delven van digitale activa, waardoor aangetaste apparaten in feite winstgevende infrastructuur worden.