Новая версия опасного трояна охотится за сид-фразами через галерею смартфона
Представьте: вы устанавливаете обычное приложение — корпоративный мессенджер или сервис доставки еды. Оно запрашивает доступ к вашим фотографиям. Вы разрешаете, не задумываясь. А в этот момент вредоносная программа начинает молча перебирать все ваши снимки в поисках заветной фразы — той самой, которая открывает доступ к криптокошельку. Это не сценарий фильма, а реальная угроза, которая снова вернулась. Исследователи из «Лаборатории Касперского» обнаружили обновлённую версию печально известного трояна SparkCat в официальных магазинах приложений Apple App Store и Google Play.
Что случилось и почему это важно
Вредоносное семейство SparkCat впервые описали ещё в феврале 2025 года. Тогда оно уже умело использовать технологию оптического распознавания символов (OCR) для кражи мнемонических фраз из галереи жертвы. Прошло больше года, и злоумышленники не только не исчезли, но и вернулись с улучшенной версией. Сейчас заражённые приложения нацелены преимущественно на пользователей из Азии, однако iOS-версия представляет глобальную угрозу.
Как именно работают заражённые приложения
Специалисты обнаружили два заражённых приложения в App Store и одно в Google Play. На первый взгляд — совершенно безобидные программы: корпоративные мессенджеры, сервисы доставки еды. Но внутри скрывается шпионский модуль. Как только пользователь даёт разрешение на доступ к галерее, троян начинает сканировать все сохранённые изображения с помощью OCR-модуля. Если в тексте на картинке обнаруживаются ключевые слова, связанные с криптокошельками (например, часть сид-фразы), злоумышленник немедленно получает этот снимок на свой сервер.
Главное отличие iOS-версии — она опасна для всех
Версия для Android по-прежнему ориентирована на Азию: она ищет ключевые слова на японском, корейском и китайском языках. А вот вариант для iOS работает иначе. Он сканирует мнемонические фразы на английском языке. А это значит, что под ударом могут оказаться пользователи из любой точки мира, независимо от региона. Сергей Пузан, исследователь из «Лаборатории Касперского», поясняет: «iOS-версия потенциально имеет гораздо более широкий охват, поскольку не привязана к конкретному языку или региону».
Технические уловки: что изменилось в новой версии
Обновлённый SparkCat для Android стал намного хитрее. Разработчики добавили несколько слоёв обфускации (запутывания кода), чтобы усложнить анализ. Они используют:
Все эти уловки говорят о том, что перед нами не любители, а серьёзные и технически оснащённые злоумышленники. В «Касперском» полагают, что за кампанией стоит оператор, говорящий на китайском языке.
Что говорят исследователи
Сергей Пузан комментирует ситуацию для The Hacker News: «Обновлённая версия SparkCat в определённых сценариях запрашивает доступ к просмотру фотографий — так же, как и самый первый вариант трояна. Она анализирует текст на сохранённых изображениях с помощью модуля оптического распознавания символов. Если похититель находит релевантные ключевые слова, он отправляет изображение злоумышленникам. Учитывая сходство текущего образца с предыдущим, мы считаем, что разработчики новой версии вредоносного ПО — те же самые люди».
Почему эта угроза продолжает расти
Тот факт, что SparkCat вернулся спустя больше года с улучшенными функциями, доказывает: вредонос активно развивается. Его создатели следят за методами защиты и каждый раз находят новые обходные пути. Кроме того, наличие приложений в официальных магазинах (App Store и Google Play) создаёт ложное ощущение безопасности. Пользователи доверяют этим платформам и редко проверяют, какие разрешения запрашивают приложения.
Как защитить себя от подобных атак
Исследователи подчёркивают: эта кампания в очередной раз доказывает, что смартфоны нуждаются в надёжных защитных решениях не меньше, чем компьютеры. Вот несколько практических советов:
Внимательно относитесь к разрешениям приложений. Зачем сервису доставки еды доступ к вашей галерее?
Не храните сид-фразы и пароли от криптокошельков в виде фотографий. Лучше использовать аппаратные кошельки или надёжные менеджеры паролей.
Установите на смартфон антивирусное решение, способное обнаруживать подобные трояны до того, как они получат доступ к данным.
Регулярно проверяйте список установленных приложений и удаляйте те, которые вы давно не использовали.
Главный вывод
SparkCat 2.0 — это яркий пример того, как мобильные угрозы становятся умнее, изощрённее и глобальнее. Они маскируются под безобидные программы, проникают в официальные магазины и крадут самое ценное: доступ к криптовалюте. Будьте бдительны и не давайте доступ к галерее первому встречному приложению — даже если оно скачано из App Store.
