Hienostunut uusi troijalainen, pahaenteisesti nimeltään ”Sparkkitty”, on noussut merkittäväksi uhkaksi älypuhelinten käyttäjille, jotka ovat aktiivisesti sifonoimalla arkaluontoisia tietoja potentiaalisesti helpottaa kryptovaluutan lompakkojen tyhjentämistä. Kyberturvallisuusyritys Kaspersky paljasti tämän läpäisevän haittaohjelman yksityiskohdat tiistaina julkaistussa kattavassa raportissa, korostaen sen salakavalaa luonnetta ja laajalle levinnyttä ulottuvuutta.
Sparkkityn varkain tunkeutuminen saavutetaan upottamalla moniin näennäisesti vaarattomiin sovelluksiin. Näitä ovat sovellukset, jotka näennäisesti liittyvät kryptovaluuttakauppaan, erilaisiin rahapelialustoihin ja jopa Tiktokin kaltaisten suosittujen sosiaalisen median sovellusten muokattuihin iteraatioihin. Tämän laajan jakelukanavien spektrin avulla haittaohjelmat voivat heittää laajan verkon, joka on epäilevä käyttäjä, jotka lataavat nämä vaaranneet sovellukset.
Sparkkityn infektiovektori hyödyntää pääasiassa harhaanjohtavia tarjousprofiileja. Hyökkääjät asettavat nämä profiilit, joita tyypillisesti käytetään laillisiin tarkoituksiin, kuten iOS -sovellusten käyttämiseen tai olemassa olevien sovellusten muokattuihin versioihin, haitallisten ohjelmistojen asentamiseksi käyttäjän laitteeseen. Asennettuna Sparkkitty asettaa heti jalansijan perustamisen, pyytäen salaperäisesti pääsyä laitteen valokuvagalleriaan. Sen operatiivinen toimintatapaus sisältää ahkerasti seurannan galleriassa olevien muutosten suhteen, luomalla huolellisesti varastettujen kuvien paikallisen tietokannan ja lataavat nämä valokuvat myöhemmin hyökkääjien hallitsemaan etäpalvelimeen.
Kasperskyn analyysi ehdottaa vahvasti erityistä, arvokasta kohdetta Sparkkityn takana oleville tekijöille: ”Epäilemme, että hyökkääjien päätavoitteena on löytää kuvakaappauksia krypto lompakon siemenlauseista.” Tämä hypoteesi korostaa haittaohjelmien luomisen johtamista merkittävää taloudellista motivaatiota, koska siemenlauseet edustavat lopullista avainta käyttäjän salaustekniikan omistusosuuksien avaamiseen ja käyttämiseen. Kyky suodattaa nämä tärkeät tiedot antavat hyökkääjille täyden ja rajoittamattoman pääsyn uhrin digitaaliseen omaisuuteen.
Vaikka Sparkkityn nykyiset ensisijaiset kohteet ovat keskittyneet Kiinaan ja Kaakkois -Aasiaan, Kaspersky antoi jyrkän varoituksen sen mahdollisuudesta globaaliin leviämiseen. Yritys korosti, että ”mikään ei estänyt sitä leviämästä muille alueille”, mikä osoittaa haittaohjelmien luontaisen sopeutumisen ja skaalautuvuuden. Tämä herättää huolenaiheita älypuhelinten käyttäjille ympäri maailmaa, jotka voisivat pian joutua alttiiksi tälle hienostuneelle uhkalle.
Tällaisten infrastruktuurihyökkäysten taloudelliset vaikutukset ovat merkittäviä. TRM Labs arvioi kattavassa 2024 -raportissaan, että edellisenä vuonna varastettua 2,2 miljardin dollarin arvosta kryptovaluutan 2,2 miljardin dollarin arvosta johtuvaa uskomatonta johtui infrastruktuurihyökkäyksistä. Nämä hyökkäykset, etenkin yksityisten avaimien ja siemenlauseiden laitonta hankkimista, korostavat digitaalisten omaisuuden valtakirjojen kohdistamisen tuottoisaa luonnetta. Haittaohjelmat, kuten Sparkkiitty, myötävaikuttaa suoraan tähän huolestuttavaan suuntaukseen ja antaa hyökkääjille mahdollisuuden hyödyntää tartunnan saaneiden laitteiden tietoja etsimään systemaattisesti ja vaarantamaan arvokkaita lompakko -käyttöoikeuksia.
Kyberturvallisuusasiantuntijoiden lisäanalyysi ehdottaa vahvaa yhteyttä Sparkkityn ja aiemmin tunnistetun vakoilukampanjan välillä, joka tunnetaan nimellä SparkCat. Sparkcatilla, joka on ensin paljastunut tammikuussa 2025, näytti samanlaisia ominaisuuksia hyödyntäen haitallisia ohjelmistokehityspaketteja (SDK) saadakseen luvattoman pääsyn käyttäjävalokuviin eri laitteissa. Vaikka Sparkcatin lähestymistapa oli hienostuneempi, keskittyen vakoiluohjelmien ominaisuuksiinsa siemenlauseita sisältävien kuvien tunnistamisessa soveltamalla optisen merkintunnistustekniikkaa (OCR), Sparkkitty omaksuu valinnaisamman, raa’an voiman menetelmän. Se ”se” lataa valokuvia, luultavasti käsitellään myöhemmin ”, mikä tarkoittaa katkaistujen kuvien alavirran analyysiä arvokkaan tiedon, mukaan lukien potentiaaliset siemenlauseet.
Sparkkityn läpäisevää luonnetta korostaa entisestään sen vahvistettu läsnäolo molemmissa suurissa mobiilikäyttöjärjestelmissä. Se on havaittu sekä Android- että iOS-sovelluskaupoissa saatavilla olevissa sovelluksissa, jotka ovat usein naamioituja laillisiksi salausaiheisiin työkaluiksi tai suositun sosiaalisen median sovellusten, kuten Tiktokin, muokattuina versioina. Tämä alustojen välinen yhteensopivuus laajentaa merkittävästi sen potentiaalista uhrin poolia ja parantaa sen uhkaprofiilia.
Sparkkitty ei ole yksittäinen tapaus, vaan liittyy pikemminkin kasvavaan salauskohteisiin kohdistuvien haittaohjelmien ja troijalaisten panteoniin, jotka ovat viime vuosina saaneet huomattavan vetovoiman. Tämä digitaalisten uhkien kehittyvä maisema korostaa hyökkäysten kasvavaa hienostuneisuutta ja monipuolistamista, joiden tarkoituksena on hyödyntää kasvavaa kryptovaluuttaekosysteemiä.
Näiden merkittävien uhkien joukossa on tiedonvarastaja noodlofiili, joka on löydetty upotettuna keinotekoisen älykkyyden (AI) työkalujen (AI) työkalujen (AI) työkaluihin. Tämä opportunistinen strategia hyödyntää AI -tekniikan kasvavaa kiinnostusta ja nopeaa käyttöönottoa epäuskoisten käyttäjien pelastamiseksi. Hakkerit rakentavat huolellisesti vakuuttavan näköisiä AI-verkkosivustoja, joita he sitten mainostavat voimakkaasti eri sosiaalisen median alustoilla houkutellakseen uhreja. Ladattuaan näistä näennäisesti laillisista AI -työkaluista tulee putket noodlofiilin haittaohjelmalle, joka vaarantaa käyttäjätiedot.
Maailmanlaajuinen taistelu tällaisia kyberuhkia vastaan näki äskettäin huomattavan voiton toukokuussa, kun kansainvälinen lainvalvontatoiminta kohdistui onnistuneesti avaininfrastruktuuriin, joka liittyi toisen voimakkaan haittaohjelman jakautumiseen, joka tunnetaan nimellä LumMac2. LumMac2 on osallistunut hämmästyttävään 1,7 miljoonaan varkauteen, joka keskittyy pääasiassa pilferging -kirjautumistietojen kanssa, mukaan lukien välttämättömät kryptovaluutan lompakkojen saamiseksi. Lummac2: n infrastruktuurin vastainen koordinoitu toiminta korostaa globaalien viranomaisten jatkuvia, yhteistyötä koskevia pyrkimyksiä purkaa verkot, jotka helpottavat näitä leviäviä ja taloudellisesti tuhoisia verkkorikoja.
Source: Sparkkitty troijalainen varastaa krypto lompakkotiedot puhelimista
