Bitcoin, Ether, Solana, XRP 전화 지갑 사용자. 이 트로이 목마는 당신을 배수하려고합니다

지갑 세부 사항을 저장하고 휴대 전화의 사진으로 종자 문구를 보내십니까? 이 트로이 목마는 당신을 목표로 할 수 있습니다

SparkCat Spyware의 후계자 공식 앱 스토어를 통해 스프레드 스프레드를 통해 OCR을 사용하여 갤러리 사진을 선출하여 시드 문구를 대상으로합니다.

2025 년 6 월 24 일, 오전 11시 59 분 업데이트 2025 년 6 월 24 일, 오전 11시 46 분 출판

Sparkkitty라고 불리는 새로운 모바일 스파이웨어 변형은 Apple의 App Store와 Google Play에 침투하여 암호화 테마 및 수정 된 앱으로 포즈를 취하여 시드 문구 및 지갑 자격 증명의 이미지를 은밀하게 추출합니다.

이 맬웨어는 2025 년 초에 처음으로 발견 된 캠페인 인 SparkCat의 후속 인 것으로 보이며, 이는 가짜 지원 채팅 모듈을 사용하여 사용자 갤러리에 조용히 액세스하고 민감한 스크린 샷을 실행했습니다.

Sparkkitty는 몇 단계 더 발전하여 동일한 전략을 취합니다. 카스퍼 스키 연구자 월요일 게시물에서 말했다.

비공식 안드로이드 패키지를 통해 스파크 카트와는 달리 SparkKitty는 Crypto Exchange 기능이있는 메시징 앱 (Google Play에 10,000 개가 넘는 설치)과 포트폴리오 추적기로 위장한 “币 Coin”이라는 IOS 앱을 포함하여 공식 상점을 포함하여 여러 iOS 및 Android 앱 내에서 확인되었습니다.

iOS 변형의 핵심에는 Afnetworking 또는 Alamofire 프레임 워크의 무기 버전이 있으며, 공격자는 Objective-C ‘

시작시 숨겨진 구성 값을 확인하고 C2 (Command-and Control) 주소를 가져오고 사용자 갤러리를 스캔하고 이미지 업로드를 시작합니다. C2 주소는 데이터를 훔치거나 파일을 보내는시기와 같이해야 할 일에 대한 맬웨어를 지시하고 도난당한 정보를 다시받습니다.

Android 변형은 수정 된 Java 라이브러리를 사용하여 동일한 목표를 달성합니다. OCR은 Google ML 키트를 통해 이미지를 구문 분석하기 위해 적용됩니다. 시드 문구 또는 개인 키가 감지되면 파일이 표시되어 공격자의 서버로 전송됩니다.

iOS에 대한 설치는 엔터프라이즈 프로비저닝 프로파일 또는 내부 엔터프라이즈 앱을위한 방법을 통해 수행되지만 종종 맬웨어를 위해 악용됩니다.

피해자는 SparkKitty 시스템 수준의 권한을 부여하는 “Sinopec Sabic Tianjin Petrochemical Co. Ltd.”와 관련된 개발자 인증서를 수동으로 신뢰하는 데 속입니다.

몇몇 C2 주소는 OES-256의 암호화 된 구성 파일에서 난독 화 된 서버에서 호스팅됩니다.

일단 해독되면, 이들은/api/putimages 및/api/getimagestatus와 같은 페이로드 페치 및 엔드 포인트를 가리 킵니다. 여기서 앱은 사진 전송을 업로드 할 것인지 지연 될지 여부를 결정합니다.

카스퍼 스키 연구원들은 난독 화 된 초기화 로직 (Opfuscated Anyalization Logic)이있는 스푸핑 된 OpenSSL 라이브러리 (libcrypto.dylib)를 사용하여 다른 버전의 맬웨어를 발견하여 진화하는 도구 세트 및 여러 분포 벡터를 나타냅니다.

대부분의 앱은 중국과 동남아시아의 사용자를 대상으로하는 것처럼 보이지만 맬웨어에 대한 것은 지역 범위를 제한하지 않습니다.

Apple과 Google은 공개 후 문제의 앱을 중단했지만 2024 년 초부터 캠페인이 활성화되었을 가능성이 높으며 여전히 측면로드 된 변형 및 클론 매장을 통해 진행 중일 수 있다고 연구원들은 경고했다.

더 읽기 : 북한 해커는 구직 응용 프로그램에 맬웨어가 숨겨진 최고의 암호화 회사를 목표로하고 있습니다.