SparkKitty: Új kémprogram iOS és Android áruházakban

SparkKitty: Új kémprogram

2025 elején a kiberbiztonsági szakértők egy új, különösen veszélyes kémprogramot, a SparkKitty-t azonosították, amely mind iOS, mind Android rendszereken képes kárt okozni. A SparkKitty nemcsak alternatív forrásokból, hanem hivatalos alkalmazásboltokból – az App Store-ból és a Google Playről – is terjedt, ezzel megkerülve a mobilplatformok szigorúbb biztonsági szabályait. A kártevő fő célpontjai a kriptovaluta-tárcák, de minden olyan felhasználó veszélyben van, aki érzékeny adatokat, például fotókat, dokumentumokat vagy privát információkat tárol a telefonján.

Akár iPhone-t, akár Android telefont használsz, szinte biztos, hogy készülékeden számos érzékeny személyes és pénzügyi adatot tárolsz – legyen szó privát üzenetekről, banki információkról, jelszavakról vagy éppen fontos fényképekről, dokumentumokról.

Az okostelefonok mára a mindennapi életünk központi eszközeivé váltak, így nem meglepő, hogy a kiberbűnözők folyamatosan új módszereket keresnek ezeknek az adatoknak a megszerzésére.

Miközben sokan tisztában vannak azzal, hogy a hackerek gyakran a jelszavakat, bankkártyaadatokat vagy más bejelentkezési információkat próbálják ellopni, most egy új típusú rosszindulatú program jelent meg a színen, amely nemcsak ezeket, hanem a telefonodon található teljes fotógyűjteményt is célba veszi. Ez a fenyegetés különösen veszélyes, hiszen a képeken gyakran olyan információk is szerepelnek – például személyes iratok, kriptotárcák helyreállító kulcsai vagy más bizalmas adatok –, amelyekkel a támadók súlyos károkat okozhatnak.

Éppen ezért fontos, hogy minden felhasználó tisztában legyen ezzel a veszéllyel, és megtegye a szükséges óvintézkedéseket okostelefonja védelme érdekében.

A Kaspersky kiberbiztonsági szakértői szerint ez a támadási kampány már 2024 februárja óta aktív. Ami igazán különlegessé teszi az esetet, hogy a szóban forgó rosszindulatú programnak sikerült bejutnia mind az Apple App Store-ba, mind a Google Play Áruházba – vagyis nemcsak alternatív forrásokból, hanem a hivatalos alkalmazásboltokból is terjedt. Ez azért is figyelemre méltó, mert ezek a platformok szigorú biztonsági ellenőrzéseikről ismertek, így ritkán fordul elő, hogy ilyen típusú kártevő hivatalos forrásból is elérhetővé válik.

Ez a cikk részletesen bemutatja a SparkKitty működését, terjedését, technikai hátterét, valamint azt, hogyan védekezhetünk ellene.

A SparkKitty eredete és célpontjai

A SparkKitty a SparkCat nevű korábbi kémprogram kampány utódja, amely már 2024 februárja óta aktív. A SparkCat célja a kriptotárcák seed phrase-einek (helyreállító kulcsainak) megszerzése volt, képek elemzésével, optikai karakterfelismerő (OCR) technológiával. A SparkKitty ezt a módszert továbbfejlesztette: nemcsak a seed phrase-eket, hanem bármilyen galériában található képet képes ellopni, sőt, bizonyos változatai célzottan keresnek szöveges információkat tartalmazó képeket.

A támadók főként Délkelet-Ázsiában és Kínában aktívak, de a SparkKitty technikailag bárhol bevethető, ahol a felhasználók letöltik a fertőzött alkalmazásokat.

Hogyan terjed a SparkKitty?

A Kaspersky az ügyről szóló jelentése szerint az Android-felhasználók közvetlen célzására a hackerek a kriptovaluta-tőzsdei funkciókat kínáló SOEX üzenetküldő alkalmazást használták, amely a Google Play Áruházból is letölthető volt, és több mint 10 000 alkalommal telepítették. iPhone-on ugyanezt a célt a 币coin nevű, kriptós információkat követő app szolgálta az Apple App Store-ban. A SOEX-et a Google értesülése után szinte azonnal eltávolította a Play Áruházból, de cikkünk megjelenésekor már a 币coin alkalmazás sem volt elérhető az App Store-ban. – Ha bármelyiket letöltötted, javasolt azonnal törölni az eszközödről.

Fertőzött alkalmazás a Google Playen Forrás: https://securelist.com
Fertőzött alkalmazás a Google Playen Kép forrása: https://securelist.com

Egy másik fertőzött Android alkalmazást is felfedeztünk, melynek neve 币coin, és nem hivatalos forrásokból is terjed. Volt azonban iOS verziója is!

Fertőzött alkalmazásoldal az App Store-ban. Kép forrása: https://securelist.com

Mind az Android, mind az iOS verzióban a rosszindulatú hasznos adat maga az alkalmazás része volt, nem pedig egy harmadik féltől származó SDK vagy keretrendszer része.

A SparkKitty azonban nem csak hivatalos forrásokból terjed: a kutatók hamis TikTok-klónokat, kriptós áruházakat, szerencsejáték- és felnőtt témájú alkalmazásokat is találtak, amelyek oldalról telepítve, nem hivatalos oldalakról származnak. Ezek az appok szintén a SparkKitty kártevőt terjesztik, de a felhasználónak manuálisan kell telepítenie őket, megkerülve a hivatalos áruházak védelmét.

1. Hivatalos alkalmazásboltokon keresztül

A SparkKitty egyik legaggasztóbb tulajdonsága az, hogy képes volt bekerülni a Google Play és az App Store kínálatába is. Bár a fertőzött alkalmazásokat azóta eltávolították, a támadók bizonyítottan képesek voltak megkerülni az Apple és a Google ellenőrzési mechanizmusait.

2. Alternatív források, hamis webáruházak

A SparkKitty gyakran jelenik meg népszerű alkalmazások – például TikTok – módosított változataiban, amelyeket hamis weboldalakon, letöltőoldalakon, vagy kriptós témájú csaló platformokon keresztül terjesztenek. Ezek az oldalak gyakran hivatalosnak tűnnek, és kriptovalutával történő fizetést is elfogadnak.

3. Fejlesztői és vállalati profilok kihasználása iOS-en

Az iOS rendszer szigorúan korlátozza a harmadik féltől származó alkalmazások telepítését. A támadók azonban visszaélnek az Apple Enterprise Developer programjával: vállalati tanúsítványokat és provisioning profile-okat használnak, amelyek lehetővé teszik a vállalati alkalmazások szabad telepítését bármely eszközre. Így a SparkKitty-t tartalmazó appok hivatalosnak tűnnek, és a felhasználó – néhány figyelmeztetés elfogadása után – gond nélkül telepítheti őket.

Működési mechanizmus: Mit csinál a SparkKitty?

1. Képlopás és adatgyűjtés

A SparkKitty legfőbb funkciója a felhasználó galériájában található képek ellopása. Az alkalmazás telepítése után vagy az első indításkor hozzáférést kér a képtárhoz.

Ezután:

  • Folyamatosan figyeli a galériát, és minden új vagy meglévő képet feltölt a támadók szervereire.
  • Egyes változatok optikai karakterfelismerést (OCR-t) használnak, hogy célzottan szűrjék ki azokat a képeket, amelyeken szöveg található – például kriptotárcák seed phrase-eit, jelszavakat vagy más érzékeny adatokat tartalmazó képernyőfotókat.

2. Adatküldés és vezérlés

A SparkKitty titkosított kommunikációs csatornákon keresztül küldi el a képeket és eszközinformációkat a támadók szervereire. A támadók a szerver válaszai alapján vezérelhetik, hogy a kártevő mikor és milyen adatokat továbbítson, illetve mely képeket célozza meg.

3. Különböző platformokon alkalmazott trükkök

  • iOS-en: A kártevő gyakran ismert, megbízható könyvtárak (pl. AFNetworking, Alamofire) nevét használja, hogy elrejtse magát. A fertőzött appokba beágyazott framework vagy obfuszkált (elrejtett) könyvtár formájában jelenik meg, és automatikusan aktiválódik az alkalmazás betöltésekor.
  • Androidon: Java és Kotlin nyelven írt változatai is vannak. A Kotlin-verzió Xposed modulként működik, amely képes más alkalmazások működésébe is beavatkozni. A galéria tartalmát az eszköz egyedi azonosítóival együtt továbbítja.

Technikai részletek: Hogyan működik a támadás?

iOS-es támadásmenet

  1. A támadó alkalmazás letöltése után a felhasználó telepíti a vállalati tanúsítványt és provisioning profile-t.
  2. Az app egy beágyazott, módosított könyvtárat (pl. AFNetworking.framework) tartalmaz, amely speciális inicializáló függvényen keresztül automatikusan aktiválódik.
  3. A kártevő titkosított konfigurációs fájlt tölt le, amely tartalmazza a parancs- és vezérlőszerver (C2) címeit.
  4. A galéria eléréséhez engedélyt kér, majd minden képet vagy célzott képeket titkosított csatornán keresztül továbbít a támadók szervereire.
  5. A támadók a szerver válasza alapján szabályozzák, hogy mely képek kerüljenek feltöltésre, illetve mikor aktiválódjon a kártevő.

Androidos támadásmenet

  1. A fertőzött alkalmazás egy titkosított konfigurációs fájlt kér le, amelyből kinyeri a szervercímeket.
  2. A galériából képeket gyűjt, majd azokat az eszköz azonosítóival együtt feltölti a szerverre.
  3. Egyes változatok csak bizonyos képeket (például seed phrase-t tartalmazókat) töltenek fel, mások minden képet ellopnak.
  4. A kártevő képes kiválasztani a leggyorsabb szervert, hogy a feltöltés minél hatékonyabb legyen.

További trükkök és fejlesztések

  • Egyes SparkKitty-változatok módosított OpenSSL könyvtárakat (pl. libcrypto.dylib) tartalmaznak, amelyek szintén részt vesznek a titkosított kommunikációban.
  • A támadók különféle módszerekkel igyekeznek elrejteni a kártevő működését: obfuszkált kód, dinamikusan letöltött konfigurációk, változó szervercímek.
  • A fertőzött alkalmazások gyakran népszerű, de módosított appok (pl. TikTok, szerencsejáték- vagy kriptós appok), amelyek letöltési oldalai megtévesztően hivatalosnak tűnnek.

Kik a célpontok?

A SparkKitty főként Délkelet-Ázsiában és Kínában terjed, de bárki áldozattá válhat, aki letölti a fertőzött alkalmazást. A támadók elsődleges célja a kriptotárcák seed phrase-einek, privát kulcsainak és egyéb érzékeny adatoknak a megszerzése, de minden olyan felhasználó veszélyben van, aki érzékeny információkat tárol a telefonján.

Hogyan lehet felismerni a fertőzést?

  • Az alkalmazás szokatlanul hamar vagy indokolatlanul kér hozzáférést a fotókhoz.
  • A készülék adatforgalma megmagyarázhatatlanul megnő.
  • Gyanús, alternatív forrásból származó alkalmazások jelennek meg a telefonon.
  • Az alkalmazás telepítésekor vállalati tanúsítvány vagy provisioning profile telepítésére kér fel.

Védekezési lehetőségek

  • Csak hivatalos forrásból telepítsen alkalmazásokat! Mindig ellenőrizze, hogy az app valóban az App Store-ból vagy Google Playről származik-e.
  • Ne telepítsen ismeretlen tanúsítványokat vagy provisioning profile-okat! Ha egy alkalmazás ilyet kér, legyen különösen óvatos.
  • Figyelje a jogosultságokat! Ha egy app indokolatlanul kér hozzáférést a galériához, utasítsa el.
  • Használjon naprakész biztonsági szoftvert! A modern vírusirtók képesek felismerni a SparkKitty-hez hasonló kártevőket is.
  • Rendszeresen készítsen biztonsági mentést! Így egy esetleges támadás után is visszaállíthatja adatait.

Összegzés

A SparkKitty egy új generációs, rendkívül veszélyes kémprogram, amely mind iOS, mind Android rendszereken képes adatokat lopni, és a hivatalos alkalmazásboltok védelmét is meg tudta kerülni. Fő célpontjai a kriptotárcák, de minden felhasználó veszélyben van, aki érzékeny adatokat tárol a telefonján. A védekezés kulcsa a tudatosság: csak megbízható forrásból szabad alkalmazást telepíteni, és minden gyanús viselkedésre oda kell figyelni.

Mindig nagyon fontos az óvatosság az alkalmazások letöltésekor

Bár a hivatalos alkalmazásboltok – mint az App Store vagy a Google Play – szigorú biztonsági ellenőrzéseket alkalmaznak, időről időre mégis előfordul, hogy rosszindulatú alkalmazások átjutnak ezeken a szűrőkön, és elérhetővé válnak a felhasználók számára. Ezek a kártevők gyakran jól álcázzák magukat, megbízhatónak tűnő appok mögé bújnak, így első pillantásra nehéz felismerni őket.

Azonban a kockázat jelentősen csökkenthető, ha tudatosan és körültekintően választod ki, hogy milyen alkalmazásokat töltesz le a telefonodra vagy táblagépedre. Érdemes mindig ellenőrizni az alkalmazás fejlesztőjét, elolvasni a felhasználói értékeléseket, valamint gyanakodni, ha egy app szokatlanul sok engedélyt kér, vagy ismeretlen forrásból származik.

Ha nem telepítesz meggondolatlanul új programokat, hanem csak megbízható, ellenőrzött forrásból származó alkalmazásokat használsz, sokkal kisebb az esélye annak, hogy véletlenül rosszindulatú szoftver kerüljön a készülékedre. Az óvatosság tehát az egyik leghatékonyabb védekezési mód a mobilos kártevők ellen.

További információk és technikai részletek

A SparkKitty-vel kapcsolatos technikai részletek, fertőzött alkalmazások listája, szervercímek és további indikátorok elérhetők a Securelist eredeti elemzésében. Forrás: Securelist – SparkKitty: The new Trojan spy in the App Store and Google Play

LaptopGuru

Google Daydream: virtuális valóság okostelefonokra is

Google Daydream: virtuális valóság okostelefonokra is

A virtuális valóság az egyik olyan terület, ami sok gyártót és fejlesztőt foglalkoztat. A VR headsetek nyújtotta játékélmény semmihez sem hasonlítható, csakhogy ezek az eszközök nem olcsóak, ráadásul egy olyan laptopra is szükség lesz hozzájuk, ami már eleve kész erre a fejlett technológiára. Jóval olcsóbb megoldást jelentenek az okostelefonok, illetve a Google Daydream, egy Android […]

Tovább olvasom...
Készítette: VortexComputer | Minden jog fenntartva! | Weboldal készítés