SparkKittyスパイウェア、偽アプリや暗号詐欺でiOSとAndroidを標的に

インターネットにおける猫への熱狂は、面白い猫動画の域をはるかに超える広がりを見せており、猫をテーマにした新たなサイバーセキュリティ脅威「SparkKitty」が誕生しました。このスパイウェア攻撃は、AndroidおよびiOSデバイス上のマルウェアとの関連性が指摘されており、高度なモバイルセキュリティ脅威の新たな波の到来を予感させます。

SparkKittyは2024年初頭に初めて検出され、サイバーセキュリティアナリストはこれをSparkCatキャンペーンとして知られる以前の活動と関連付けました。SparkCatはスクリーンショットから仮想通貨ウォレットデータを抽出するために光学文字認識（OCR）を利用していましたが、SparkKittyは感染したデバイスからフォトギャラリーのコンテンツを盗むことに重点を置いているようです。

偽のTikTokアプリや暗号資産トラッカーがスパイウェアを配信

SparkKittyトロイの木馬は、暗号通貨トラッカー、ギャンブルプラットフォーム、TikTokの改変版を装うアプリに潜んでいることが発見されました。iOSでは、このスパイウェアは正規のアプリコンポーネントを模倣することで潜伏し、インストール時に検出されにくくなっています。

マルウェアがアプリ自体の一部として送信されたケースもありました。Securelistの研究者が発見した時点では、感染したアプリの1つはまだ稼働していましたが、その後Appleによって削除されました。

Android版のSparkKittyは2つのプログラミング言語で構築されており、通常はアプリをカスタマイズするためのツールまで使用していました。感染したアプリはPlayストアだけでなく、暗号資産詐欺やポンジスキームに関連する怪しいウェブサイトにも出現しました。

SparkKittyが知らないうちに写真を盗む方法

SparkKittyは、あなたのスマートフォンに感染すると、疑わしい行動を起こす前に、正しい種類のデバイスであることを確認します。そして、リモートサーバーにアクセスし、写真の窃盗を開始する許可を求めます。

承認されると、マルウェアはフォトギャラリーをスキャンして新しい画像を探し、基本的なデバイス情報を収集し、暗号化された接続を通じてすべてを秘密裏に攻撃者に送信します。

SparkKittyは、検知されないよう、ウェブアドレスをリアルタイムで変更したり、コードの一部を隠したりするなどのトリックを使います。少なくとも1つのケースでは、盗んだデータを送信するための最適なサーバーを特定するための新たな命令をダウンロードすることさえありました。

東南アジアからあなたの携帯電話へ：スパイウェア攻撃が世界規模で拡大

Securelistは、SparkKittyに関連する別の不審なAndroidアプリ群も発見しました。これらのアプリはOCRツールを使用して写真をスキャンし、暗号資産ウォレットの詳細を含む読み取り可能なテキストを探していました。アナリストは、コード構造、戦術、地理的ターゲット設定が類似していることから、両方の侵入手法が同じハッカーによって使用されたと考えています。

観測された感染のほとんどは東南アジアと中国に集中していましたが、研究者たちは、このマルウェアには世界的な拡散を阻止できるような技術的な制限はないと強調しています。このトロイの木馬は、ハッカーが公式アプリストアにスパイウェアを拡散するという憂慮すべき傾向の一端を担っています。

このセキュリティリスクを軽減するためのヒント

サイバーセキュリティの専門家は、特に信頼できるプラットフォームからダウンロードされていない、未知の暗号資産アプリには注意するようユーザーに勧告しています。AppleとGoogleは感染が確認されているアプリをストアから削除しましたが、SparkKittyの隠れた行動は、ユーザーの警戒をさらに強化する必要があることを浮き彫りにしています。

最新のサイバー攻撃の急増に関する TechRepublic の記事を読んでください。Check Point は、組織に対し、増加する脅威とグローバル ネットワークを狙った新しい手法について警告しています。