ログイン/ 登録

Google PlayとApp StoreでCrypto、Casino、TikTokのクローン偽アプリが配布される。

Anais

2025/06/25 15:55

従う

SparkKittyマルウェア、フォトギャラリーを通じて暗号化ユーザーを密かに狙う

SparkKittyと呼ばれる新しいモバイルマルウェアがスマートフォンに静かに侵入し、暗号通貨のシードフレーズを画像ライブラリから検索して資金を盗んでいる。

サイバーセキュリティ企業のカスペルスキーは、AndroidとiOSの両プラットフォームにおける不審な動きを数カ月にわたって監視した結果、この脅威を発見した。

このマルウェアは一見無害なアプリの中に隠されており、すでに中国と東南アジアを中心に数千人のユーザーが感染している。

我々の研究者は次のことを発見した。#スパークキティの両方を標的とするステルス型トロイの木馬である。#iOS そして#アンドロイドデバイスがある。

このトロイの木馬は、感染した携帯電話から画像や端末データをキャプチャし、攻撃者に送信する。このトロイの木馬は、以下のアプリケーションに埋め込まれていた。#暗号ギャンブル、そしてトロイの木馬まで...。pic.twitter.com/2CjjSwcpeo
カスペルスキー (@kaspersky)2025年6月24日

悪意あるアプリがユーザーを騙してアクセスを許可させる方法

SparkKittyは、ポートフォリオ・トラッカーやメッセージング・ツール、アダルト・ゲーム、カジノ・プラットフォーム、偽造TikTokクローンなど、さまざまな暗号をテーマにしたアプリに埋め込まれている。

危殆化したアプリのひとつ、SOEXは暗号取引所機能を備えたメッセージング・プラットフォームで、グーグルが削除する前にすでに1万回以上ダウンロードされていた。

币coinと呼ばれる別のものは、暗号価格トラッカーを装い、アップルのApp Storeでホストされていた。

スローミスト TI アラート 🚨 スローミスト TI アラート

という新しいマルウェアが登場した。#スパークキティ暗号ウォレットのシードフレーズを検索し、感染したiOSやAndroidデバイスからすべての写真を盗む。

⚠️ 経由で配信：
🔸 🔸 🔸 🔸 🔸 🔸 🔸（App Store）
SOEX 🔸（Google Play、10K以上のインストール、現在は削除済み）
🔸 カジノアプリ、アダルト...pic.twitter.com/47WDc8l6tQ
スローミスト (@SlowMist_Team)2025年6月24日

インストールされると、アプリは通常のツールのように振る舞いながら、フォトギャラリーへのアクセス許可を静かに要求する。

アクセスが許可されると、マルウェアはスクリーンショットや手書きのメモに隠された、財布を取り戻す可能性のあるフレーズのスキャンを開始する。

スパークキティの洗練された引き抜き戦術

アンドロイド端末では、このマルウェアは修正されたJavaライブラリとグーグルのMLキットを使い、光学式文字認識（OCR）を通じてシードフレーズを特定する。

iOSでは、攻撃者はAFNetworkingやAlamofireのようなネットワーキング・フレームワークに隠しクラスを埋め込んだ。

このクラスは、Objective-Cの+loadメソッドを使って起動時に自動的にアクティブになり、コンフィギュレーション設定をチェックした後、コマンド・アンド・コントロール（C2）サーバーに接続して指示を受け取る。

盗まれた画像は暗号化された通信で外部サーバに送信され、マルウェアの亜種は偽装された OpenSSL ライブラリと `/api/putImages` および `/api/getImageStatus` のような難読化されたパスを使用します。

エンタープライズプロファイルを使ったトリックインストール

iOSバージョンは、アップルの企業向けプロビジョニング・システムを悪用することで、通常の制限を回避している。

被害者は、「SINOPEC SABIC Tianjin Petrochemical Co.Ltd. "にリンクされた開発者証明書を手動で信用させる。

いったんインストールされると、このマルウェアはシステムレベルに近いアクセス権限で動作し、ユーザーに警告することなく写真をスキャンすることができる。

カスペルスキーの研究者は、この手口は従来の脅威と比較して検出が難しくなると指摘している。

カスペルスキーのアナリスト、セルゲイ・プザンとドミトリー・カリニンはこう書いている、

「攻撃者の主な目的は暗号ウォレットのシードフレーズのスクリーンショットを見つけることだと思われるが、盗まれた画像には他の機密データも含まれている可能性がある。

過去のSparkCatキャンペーンへのリンク

SparkKittyは、2025年1月に最初に警告されたマルウェアであるSparkCatの進化版と思われ、同じくフォトギャラリーを標的としてシードフレーズを抽出する。

両系統とも、コード、デバッグシンボル、感染テクニックに共通点がある。

スパークキャットプロセスの翻訳イメージ（出典：SparkCat：X )

しかしSparkKittyは、ローカルでスキャンするのではなく、写真ライブラリ全体を無差別にアップロードすることで、より広い野心を示している。

SparkCatが主に非公式のAndroidダウンロードを通じて活動していたのに対し、SparkKittyは公式アプリストアに侵入することに成功し、一般ユーザーへの暴露リスクを大幅に高めている。

暗号通貨が引き続き標的

このマルウェアキャンペーンは、暗号保有者に対する継続的な危険を浮き彫りにしている。

シード・フレーズ（暗号通貨ウォレットのリカバリ・キー）は、ユーザーの資金に直結するため、サイバー犯罪者の間で依然として高い人気を誇っている。

TRM Labsの2024年報告書によると、昨年発生した22億ドルの暗号窃盗の70％以上が、秘密鍵とシードフレーズの漏洩に起因している。SparkKittyはまさにこのパターンに当てはまる。

カスペルスキーは、いくつかの感染したアプリが削除されたにもかかわらず、SparkKittyのキャンペーンは、地域別の制限なく、サイドロード版やクローンストアを介してまだアクティブである可能性があると警告しています。

プザンとカリーニンは言った、

技術的にも概念的にも複雑ではないが、このキャンペーンは少なくとも2024年の初めから続いており、ユーザーにとって重大な脅威となっている；

📸 あなたのフォトギャラリーは安全だと思いますか？違います！
マルウェア#スパークキティはシードフレーズのスクリーンショットを探している。
鋭さを保つ。鍵はスクリーンショットせず、Cypherに入れておくこと。🔐https://t.co/XMvfzVmcBS pic.twitter.com/2HcXeC5cu4
SafePal - 暗号ウォレット (@iSafePal)2025年6月24日