Een geavanceerde mobiele malwarecampagne, bekend als SparkKitty, heeft zich via ogenschijnlijk onschuldige apps een weg gebaand naar zowel de Apple App Store als Google Play. De malware, actief sinds februari 2024, is gericht op het stelen van cryptosleutels en portemonneegegevens en treft vooral gebruikers in Zuidoost-Azië en China. Dat meldt het Russische cybersecuritybedrijf Kaspersky.

SparkKitty wordt verspreid via apps die zich voordoen als populaire of nuttige toepassingen. Denk aan valse TikTok-mods, cryptotrackers, gokspelletjes en adultcontent-apps. In de lijst van geïnfecteerde apps duiken onder meer “Soex Wallet Tracker” en “Coin Wallet Pro” op. Ondanks hun kwaadaardige opzet wisten deze applicaties duizenden keren gedownload te worden.

Om gebruikers te misleiden vragen de apps toegang tot de fotogalerij, zogezegd om schermafbeeldingen op te slaan of profielfoto’s te bewerken. In werkelijkheid zijn ze op zoek naar gevoelige informatie die gebruikers vaak bewaren in de vorm van screenshots, zoals privésleutels of back-upzinnen van cryptowallets.

iOS en Android allebei doelwit

Op iPhones gebruikt SparkKitty aangepaste frameworks, waaronder AFNetworking, die zich via Apple’s Enterprise provisioning-systeem installeren. Dat systeem is bedoeld voor intern appgebruik door bedrijven, maar wordt in dit geval misbruikt om beveiligingscontroles te omzeilen. De geïnfecteerde apps blijven functioneren zoals beloofd, maar bevatten verborgen routines voor datadiefstal.

Bij Android-toestellen wordt kwaadaardige code rechtstreeks in appcomponenten verwerkt. De malware gebruikt crypto-gerelateerde thema’s en benamingen om gebruikers aan te trekken.

Slimme technologie

Wat SparkKitty bijzonder gevaarlijk maakt, is de toepassing van OCR-technologie (optische tekenherkenning) via Google ML Kit. Daarmee scant de malware foto’s automatisch op cryptogerelateerde tekst zoals seed phrases, privésleutels of walletadressen – vaak opgeslagen in screenshots door gebruikers.

In tegenstelling tot eerdere malware die grote hoeveelheden data moest doorspelen voor analyse, filtert SparkKitty enkel relevante beelden. Zo worden alleen beelden met gevoelige inhoud doorgestuurd naar de servers van de aanvallers. Dit bespaart bandbreedte én verhoogt de efficiëntie van de aanval.