Специалисты «Лаборатории Касперского» выявили новую версию трояна SparkCat в App Store и Google Play. Данный вредоносный софт скрывается под официальными приложениями и исследует фотогалерею пользователя в поисках фраз, необходимых для восстановления доступа к криптокошелькам.
«SparkCat представляет собой развивающуюся мобильную угрозу. Его разработчики постоянно совершенствуют методы обхода анализа, что позволяет программе успешно преодолевать проверки безопасности в официальных магазинах приложений. Дополнительно, техники, применяемые создателями SparkCat, такие как виртуализация кода и использование кроссплатформенных языков программирования, встречаются редко в мобильном вредоносном ПО. Это говорит о высоком уровне квалификации злоумышленников», – прокомментировал Дмитрий Калинин, эксперт по кибербезопасности в «Лаборатории Касперского».
Эксперты также напомнили, что год назад троян SparkCat был обнаружен и удален из официальных магазинов. Тем не менее, в рамках новых исследований было выявлено два зараженных приложения в App Store и одно в Google Play. После сообщения от специалистов, приложение в Google Play было удалено. В то же время, приложения с SparkCat продолжают распространяться через сторонние ресурсы, некоторые из которых маскируются под App Store.
В «Лаборатории Касперского» также отметили, что версия для Android в основном нацелена на пользователей из Азии. Она может распознавать ключевые слова на японском, корейском и китайском языках, в то время как версия для iOS ищет фразы на английском языке.
«Разные сценарии для различных платформ и регионов являются признаком хорошо спланированной атаки. Злоумышленники адаптируют приложение под язык пользователя, чтобы оно выглядело как можно более безопасным и не вызывало подозрений. Например, в одной стране это может быть приложение на русском, а в другой – на английском или китайском, что повышает вероятность установки и предоставления доступа к данным. Кампания носит международный характер, поскольку злоумышленники, скорее всего, нацелены на пользователей криптовалют по всему миру», – рассказал IT Speaker Михаил Сергеев, ведущий инженер CorpSoft24.
Новый SparkCat отличается увеличенной сложностью: используются методы обфускации, включая виртуализацию кода и кроссплатформенные технологии, что затрудняет его обнаружение. По мнению экспертов, такие подходы редко применяются в мобильном вредоносном ПО и подчеркивают высокий уровень подготовки разработчиков.
«Обновленная версия SparkCat, как и ее предшественник, в определенных ситуациях запрашивает доступ к просмотру фотографий в галерее смартфона. Троян анализирует текст на изображениях с помощью технологии оптического распознавания символов. Обнаружив подходящие ключевые слова, он отправляет изображение злоумышленникам. Сходство текущего образца с предыдущей версией позволяет предположить, что их разработка ведется одними и теми же авторами», – заявил эксперт по кибербезопасности в «Лаборатории Касперского» Сергей Пузан.
По словам Михаила Сергеева, современные трояны могут «читать» изображения почти так же, как человек. Используя технологию распознавания текста (OCR), программа просматривает фотографии и скриншоты в галерее, затем извлекает текст. Далее она ищет ключевые слова, такие как фразы для восстановления криптокошельков или пароли.
«Это происходит автоматически и очень быстро, без участия пользователя. Человек лучше понимает смысл, но при поиске конкретных фраз машина работает быстрее и точнее. Поэтому скриншоты с конфиденциальной информацией – это действительно опасный способ хранения данных», – отметил Сергеев.
Чтобы избежать попадания в ловушку SparkCat, специалист посоветовал пользователям избегать установки приложений из непонятных источников и всегда проверять разработчика. Следует обращать внимание на отзывы и рейтинг даже в официальных магазинах приложений App Store и Google Play, особенно если приложение новое.
«Не предоставляйте приложениям доступ к галерее без необходимости – это один из основных каналов атаки. Не храните скриншоты с паролями и seed-фразами на телефоне – лучше записать их на бумаге или использовать специальные защищенные программы для хранения, такие как KeePass. Антивирус или встроенные системы защиты также могут помочь своевременно выявить подозрительную активность», – добавил Сергеев.
Ранее стало известно, что мошенники начали чаще распространять вредоносное ПО, выдающее себя за «ускорители», VPN и альтернативные клиенты популярных мессенджеров. В начале 2026 года количество таких инцидентов увеличилось на 38%, достигнув 4,8 тыс. случаев кибератак.
Троян атакует Android-смартфоны под видом фитнес-приложений
