Эксперты Kaspersky сообщили о появлении нового мобильного криптомалваря под названием SparkKitty, который нацелен на кражу скриншотов с сид-фразами криптовалютных кошельков пользователей. Зловред распространяется через заражённые приложения для Android и iOS, часть из которых проникла в официальные магазины Google Play и Apple App Store.
SparkKitty действует, получая доступ к фотогалерее устройства и используя оптическое распознавание символов для вычленения изображений с текстовой информацией, в частности, криптографическими ключами восстановления. Среди заражённых приложений оказались как крипто-трекеры, так и модифицированные версии популярных соцсетей (например, TikTok), игорные и взрослые приложения.
Основной регион распространения угрозы — страны Юго-Восточной Азии и Китай, что выявлено по источникам загрузки вредоносных программ. Некоторые приложения, такие как Soex Wallet Tracker и Coin Wallet Pro, получили тысячи загрузок прежде, чем были удалены после уведомлений Kaspersky.
SparkKitty считается родственником раннего образца SparkCat, также нацеленного на сбор конфиденциальных фотографий, и угроза действует с начала 2024 года. Компания взаимодействовала с Apple и Google для удаления заражённых приложений из официальных магазинов и изоляции разработчиков-мошенников.