ウォレットの詳細やシードフレーズをスマホに写真保存？このトロイの木馬が標的にしている可能性

「SpARkKitty」と呼ばれる新種のモバイルスパイウェアが、仮想通貨関連や改造アプリを装い、AppleのApp StoreとGoogle Playに侵入し、シードフレーズやウォレット認証情報の画像を密かに抽出していることが判明しました。

このマルウェアは、2025年初頭に発見された「SparkCat」キャンペーンの後継と見られています。SparkCatは偽のサポートチャットモジュールを使用し、ユーザーのギャラリーにサイレントアクセスして機密スクリーンショットを外部送信していました。

カスペルスキーの研究者らは月曜日の投稿で、SparkKittyが同じ戦略をさらに進化させていると指摘しました。

非公式Androidパッケージを通じて主に拡散していたSparkCatとは異なり、SparkKittyは公式ストアで入手可能な複数のiOSおよびAndroidアプリ内で確認されています。これには、仮想通貨取引機能を備えたメッセージングアプリ（Google Playで10,000回以上インストール）や、ポートフォリオトラッカーを装ったiOSアプリ「币coin」が含まれます。

iOS版の核心には、AFNetWorkingまたはAlamofireフレームワークの武器化バージョンがあります。攻撃者はここにカスタムクラスを埋め込み、Objective-Cの+loadセレクタを使用してアプリ起動時に自動実行するようにしました。

起動時には、隠された設定値をチェックし、コマンド・アンド・コントロール（C2）アドレスを取得した後、ユーザーのギャラリーをスキャンして画像のアップロードを開始します。C2アドレスは、データを盗むタイミングやファイル送信の指示など、マルウェアの動作を制御し、盗んだ情報を受け取ります。

Android版は、同じ目的を達成するために修正されたJavaライブラリを利用しています。OCRにはGoogle ML Kitが使用され、画像解析が行われます。シードフレーズや秘密鍵が検出されると、ファイルはフラグ付けされ、攻撃者のサーバーに送信されます。

iOSへのインストールは、企業向けプロビジョニングプロファイルを通じて行われます。これは本来、社内アプリ向けの方法ですが、マルウェアに悪用されることが多い手法です。

被害者は、「SINOPEC SABIC TIAnjin Petrochemical Co. Ltd.」に関連する開発者証明書を手動で信頼するよう騙され、SparkKittyにシステムレベルの権限を与えてしまいます。

使用された複数のC2アドレスは、難読化されたサーバー上でホストされているAES-256暗号化設定ファイルを利用していました。

復号化すると、これらはペイロードフェッチャーやエンドポイント（例：/aPi/putImagesや/api/getImageStatus）を指し示し、アプリは写真のアップロードや送信遅延を決定します。

カスペルスキーの研究者らは、難読化された初期化ロジックを持つ偽装OpENSSLライブラリ（libcrypto.dylib）を利用するマルウェアの他のバージョンも発見しており、進化するツールセットと複数の配布ベクトルを示唆しています。

ほとんどのアプリは中国および東南アジアのユーザーを標的にしているように見えますが、マルウェア自体に地域的な制限はありません。

AppleとGoogleは開示後、問題のアプリを削除しましたが、研究者らは、このキャンペーンは2024年初頭から活動しており、サイドロード版やクローンストアを通じてまだ継続している可能性があると警告しています。

翻訳者: Str1k3r