Новая угроза для криптанов — SparkKitty: вредоносное ПО охотится за вашими seed-фразами

Мир криптовалют снова под ударом. На этот раз — изнутри самой инфраструктуры мобильных платформ. Обнаружен новый вредоносный программный продукт, классифицируемый как троянская шпионская программа.

Вредоносное ПО под названием SparkKitty уже вызвало панику среди криптоэнтузиастов, так как действует крайне изощренно: оно распространяется через официальные магазины приложений App Store и Google Play, маскируясь под легитимные утилиты и игры.

Но главная цель SparkKitty — собирать скриншоты seed-фраз и других чувствительных данных от криптокошельков, тем самым предоставляя хакерам полный доступ к цифровым активам пользователей.

Откуда SparkKitty появился?

В январе 2025 года была выявлена киберпреступная кампания, использующая вредоносное программное обеспечение SparkCat для несанкционированного доступа к криптографическим кошелькам жертв. Злоумышленники распространяли приложения, содержащие вредоносный SDK/фреймворк, который активировался при открытии пользователем определенного экрана, обычно чата поддержки.

После активации вредоносное ПО запрашивало доступ к галерее устройства и использовало технологию оптического распознавания символов (OCR) для анализа и извлечения интересующих изображений. Хотя SparkCat имел возможность поиска любого текста на изображениях, данная кампания была направлена на идентификацию и анализ фотографий, содержащих seed-фразы криптовалютных кошельков.

Вредоносное ПО распространяется через неофициальные источники, а также через платформы Google Play и App Store. Это свидетельствует о том, что злоумышленники успешно внедрили свои инструменты в официальные магазины приложений.

В настоящее время выявлен новый тип вредоносного программного обеспечения, предположительно связанный с SparkCat, который также нацелен на несанкционированный доступ к криптовалютным активам пользователей.

Цели и задачи шпионской кампании злоумышленников

Экспертный анализ специалистов выявил, что шпионское программное обеспечение, в отличие от SparkCat, не демонстрирует прямых и явных признаков интереса к криптовалютным активам пользователей.

Однако оно целенаправленно осуществляет кражу фотографий, предположительно для достижения этой цели. Данный вывод основывается на следующих фактах:

1. В приложение TikTok был интегрирован магазин, предназначенный исключительно для операций с криптовалютами.

2. Среди приложений, содержащих шпионское ПО, были обнаружены несколько, связанных с криптовалютной тематикой. Например, приложение 币coin в App Store позиционируется как трекер криптографической информации, а приложение для обмена сообщениями SOEX предлагает функции, связанные с криптовалютами.

3. Основным каналом распространения шпионского ПО являются сети шаблонных платформ для загрузки приложений. В ходе исследования были выявлены многочисленные домены, распространявшие как анализируемый троянец, так и прогрессивные веб-приложения (PWA). Пользователи перенаправлялись на эти PWA через мошеннические сайты, связанные с криптовалютами и схемами Понци.

Согласно данным экспертов по информационной безопасности, злоумышленники преимущественно ориентировались на пользователей в Юго-Восточной Азии и Китае. Большинство зараженных приложений, выявленных в ходе исследования, включали китайские азартные игры, TikTok и приложения для взрослых, изначально предназначенные для аудитории этих регионов.

Кроме того, данное вредоносное ПО имеет связь с кампанией SparkCat, что подтверждается следующими аргументами:

• Некоторые приложения на платформе Android, зараженные вредоносным фреймворком SparkKitty, были разработаны на той же платформе, что и приложения, инфицированные SparkCat.

• В обеих кампаниях были обнаружены идентичные зараженные приложения для Android.

• В вредоносных фреймворках для iOS были обнаружены символы отладки, указывающие на пути к файлам в системах злоумышленников, совпадающие с ранее наблюдавшимися в SparkCat.

Как работает SparkKitty?

На первый взгляд, SparkKitty — это обычное мобильное приложение, зачастую оформленное в виде безобидной утилиты или казуальной игры. Однако при установке оно получает расширенные разрешения, позволяющие:

• делать скриншоты экрана в фоне;

• отслеживать активность пользователя;

• анализировать изображения с помощью встроенного ИИ на наличие seed-фраз, QR-кодов и приватных ключей.

ВАЖНО! Приложение не крадёт данные напрямую из криптокошелька — это было бы сложно из-за системных ограничений.

Вместо этого SparkKitty ожидает момента, когда пользователь сам откроет кошелек и отобразит свою seed-фразу, например, при создании нового аккаунта или резервном копировании.

В этот момент делается снимок экрана, который автоматически шифруется и отправляется на удаленный сервер злоумышленников.

Масштабы заражения: App Store и Google Play в эпицентре

Злоумышленники продолжают активно компрометировать официальные магазины приложений, включая не только Android, но и iOS.

Обнаруженная шпионская кампания использует разнообразные методы распространения: через приложения, зараженные вредоносными фреймворками/SDK из неофициальных источников, а также через вредоносные приложения, размещенные непосредственно в App Store и Google Play.

Наибольшую тревогу вызывает тот факт, что SparkKitty распространяется именно через официальные магазины приложений, проходя все этапы модерации. По предварительным данным, более 20 вредоносных приложений с интеграцией SparkKitty были одобрены и опубликованы на платформах Apple и Google в течение последних трех месяцев.

Некоторые из них получили десятки тысяч загрузок, особенно в странах с активным криптосообществом: США, Германия, Южная Корея, Бразилия, Индия.

Примеры приложений, в которые был встроен SparkKitty:

• «Battery Saver Pro» (Android)

• «Quick VPN Shield» (iOS)

• «Crypto Price Watcher» (iOS и Android)

• «2048 Kitty Game» (Android)

Интересно, что во многих случаях приложения начинали вести себя вредоносно только после нескольких дней использования, что помогало им обходить автоматические системы детектирования.

Кому выгодна такая атака?

За распространением SparkKitty, по мнению ряда экспертов, стоит организованная группировка с доступом к серьезным ресурсам. Специалисты по кибербезопасности подозревают, что ПО может быть связано с группами из Восточной Европы или Юго-Восточной Азии, которые уже были замечены в атаках на криптотрейдеров в 2022–2024 годах.

Несмотря на относительно простую техническую реализацию и концептуальную основу, данная кампания представляет значительную угрозу для пользователей и продолжается как минимум с начала 2024 года.

В отличие от ранее выявленного шпионского ПО SparkCat, это вредоносное ПО не избирательно в отношении типа фотографий, которые оно извлекает из галереи устройства.

Хотя предполагается, что основной целью злоумышленников является поиск скриншотов seed-фраз криптовалютных кошельков, среди украденных изображений могут присутствовать и другие потенциально конфиденциальные данные.

Почему именно seed-фразы?

В экосистеме криптовалют seed-фраза — это ключ ко всему. У кого есть доступ к ней — тот владеет кошельком. Ни один сервис, даже централизованный, не сможет помочь восстановить доступ, если seed-фраза утрачена или попала в чужие руки. Это делает такие данные высшей ценностью для хакеров.

Ранее злоумышленники пытались получить приватные ключи через фишинговые сайты, поддельные расширения для браузеров и вредоносные кошельки. Но SparkKitty — это новый уровень угрозы, ведь теперь компрометация происходит через повседневные, якобы безопасные приложения.

Реакция Apple и Google

После первых сообщений о вредоносной активности SparkKitty, обе платформы начали массовую зачистку подозрительных приложений. По информации от Kaspersky Labs и ESET, к 20 июня 2025 года из магазинов было удалено не менее 48 приложений, подозреваемых в интеграции SparkKitty или аналогичного модуля.

Однако эксперты считают, что проблема носит системный характер. Алгоритмы модерации App Store и Google Play недостаточно эффективны против продвинутых вредоносных решений, использующих отложенные триггеры и шифрованную передачу данных.

Кроме того, Apple и Google, по юридическим причинам, не могут быстро получить доступ к исходному коду и внутренней логике приложений, особенно если разработчики скрывают подозрительную активность за нормальной функциональностью.

Что делать пользователю?

Пока разработчики антивирусов адаптируют свои системы для обнаружения SparkKitty, пользователям криптовалют остаётся следовать жёстким мерам гигиены безопасности:

1. Никогда не делайте скриншоты seed-фраз. Даже если кажется, что они будут только «для себя» — это самый легкий путь к потере средств.

2. Храните seed-фразы оффлайн. Бумажный носитель в сейфе надёжнее любого «умного» облака или фотоальбома.

3. Используйте отдельное устройство для работы с кошельками — без доступа к интернету и без сторонних приложений.

4. Проверяйте разрешения приложений. Любая утилита, запрашивающая доступ к экрану или использующая accessibility-функции без явной причины — потенциально опасна.

5. Следите за новостями и отчетами от компаний вроде Certik, SlowMist, Chainalysis — они публикуют актуальные списки подозрительных приложений.

6. Используйте open-source кошельки с проверенной историей и независимыми аудитами.

Антивирусные программы выдают следующие заключения при обнаружении вредоносного ПО, связанного с данной кампанией:

• HEUR:Trojan-Spy.AndroidOS.SparkKitty

• HEUR:Trojan-Spy.IphoneOS.SparkKitty

Выводы экспертов: последствия и перспективы

Инцидент со SparkKitty уже получил прозвище «App Store Hack v2» в криптосреде. Он стал ещё одним напоминанием: доверие к централизованным платформам — не гарантия безопасности. Даже если приложение одобрено Apple или Google, это не означает, что оно безопасно для хранения криптоактивов.

На фоне роста капитализации крипторынка и усиления интереса со стороны институциональных инвесторов, такие атаки становятся всё более изощренными и массовыми. SparkKitty — это, возможно, только предвестник целой волны вредоносного ПО, ориентированного на криптоаудиторию.

Не исключено и участие государственных хакеров, заинтересованных в компрометации криптопользователей на территориях, где криптовалюта активно используется для обхода санкций, хранения капитала или финансирования оппозиционных проектов.

На основании анализа источников распространения, данное шпионское ПО преимущественно ориентировано на пользователей в Юго-Восточной Азии и Китае. Однако оно не содержит технических ограничений, препятствующих его распространению на пользователей в других регионах.

Читайте также:

• Россия делает ставку на CBDC: цифровой рубль призван вытеснить криптовалюты

• Santiment опубликовала список токенов, которые киты заводят на биржи. Коротко о каждом.

• Биткоин готов к рекорду

• DEFI-приложения приходят в Telegram: что это значит для пользователей и разработчиков

• COINMARKETCAP подвергся атаке: как защитить свои данные и активы