2025年6月23日,卡巴斯基研究团队披露了一起高复杂度移动间谍软件活动,名为SparkKitty。该恶意程序通过Apple App Store与Google Play官方渠道传播,具备同时感染iOS与Android设备的能力,代表移动平台安全的新型重大威胁。其主要目标是窃取设备图库中的所有照片,尤其是包含加密货币钱包助记词等敏感信息的图像。
SparkKitty建立在早期SparkCat活动基础之上,技术实现更为隐蔽和复杂。在iOS平台,它伪装成合法网络库如AFNetworking,注入混淆模块并借助Objective-C类加载机制持久驻留;在Android系统上,则以Java/Kotlin或Xposed模块方式挂钩系统入口点,全面规避安全检测。恶意软件通过多阶段验证机制激活有效载荷,并使用AES-256加密与远程C2服务器通信,获得授权后系统性窃取并上传图库图像。
该活动自2024年初活跃至今,重点瞄准中国和东南亚用户,通过赌博应用、TikTok变种与成人软件等高诱导性伪装方式进行扩散。尽管攻击具有明确的地理定向性,但并无技术机制阻止其向其他地区蔓延。SparkKitty反映出跨平台传播、金融信息窃取和广泛图像索取三大趋势,预示移动终端用户正面临日益严峻的隐私与资产风险。
概述
卡巴斯基6月23日发布的研究报告显示,一个名为 SparkKitty 的复杂新型间谍软件活动,该活动已成功渗透到Apple的App Store和Google Play Store,标志着通过官方渠道传播的移动恶意软件显著增加。
Summary1. SparkKitty is a recently uncovered malware that infects both iOS and Android devices through malicious apps in the App Store and Google Play.2. Securelist analysts found that SparkKitty’s main goal is to steal all images from victims’ galleries, hoping to capture sensitive data like crypto wallet phrases.3. The malware uses disguised frameworks and obfuscated code for infection and persistence, communicating with command servers to exfiltrate data.4. The campaign has targeted users mainly in Southeast Asia and China since early 2024 and remains active, posing serious privacy and financial risks.这个木马间谍代表了以加密货币为重点的攻击的最新发展,它建立在之前发现的SparkCat活动的基础上,同时将其影响范围扩展到两个主要的移动平台。
该恶意软件的攻击媒介表现出了惊人的多功能性,不仅通过官方应用商店传播,还通过非官方来源和修改后的应用程序传播。
重试
重试
重试
SparkKitty同时针对iOS和Android设备,采用特定于平台的技术来绕过安全措施并建立对受害者设备的持续访问。
重试
重试
重试
该活动至少自2024年2 起就一直活跃,表明威胁行为者持续协调地努力危害全球移动用户。
感染机制
Securelist的研究人员指出,SparkKitty采用多种分发方法来最大限度地发挥其感染潜力。
在iOS设备上,恶意负载通过模仿合法网络库(如AFNetworking.framework或 Alamofire.framework)的框架传递,同时还利用伪装成系统组件的混淆库(如 libswiftDarwin.dylib)。
Android版本通过Java和Kotlin实现运行,某些版本可作为恶意Xposed模块运行,并挂入应用程序入口点。
Google Play上受感染的应用程序(来源 –Securelist)
SparkKitty的主要目的似乎是窃取存储在受感染设备上的照片,尤其是包含加密货币钱包种子短语的图像。
与其前身SparkCat使用光学字符识别来选择性地定位特定内容不同,SparkKitty 采用了更全面的方法,通过不加区分地从设备图库中窃取所有可访问的图像。
这种更广泛的收集策略表明攻击者正在撒下更大的网来获取可能有价值的财务信息。
该活动表现出了相当大的地理重点,主要通过专门为东南亚和中国设计的应用程序来瞄准这些地区用户,包括中国赌博游戏、TikTok修改版和面向成人的应用程序。
这种区域性目标与许多受感染应用程序中嵌入的加密货币主题相一致,表明威胁行为者对其目标受害者的人口统计数据有着深入的了解。
技术实现和持久机制
当检查SparkKitty在两个平台上的实现细节时,其技术的复杂性就变得显而易见。
在iOS设备上,恶意软件通过特殊load选择器利用Objective-C的自动类加载机制,该机制在应用程序启动时自动执行。
恶意活动的入口点发生在修改的+[AFImageDownloader load]选择器内,而合法的 AFNetworking实现中不存在该函数。
该恶意软件在激活其有效载荷之前会执行多阶段验证过程。它首先检查ccool应用程序的 Info.plist 配置文件中的键是否与特定字符串匹配77e1a4d360e17fdbc。
这可作为初始身份验证机制,以防止在非预期环境中意外执行。
ccc验证成功后,SparkKitty使用硬编码密钥以 ECB模式进行AES-256加密,从密钥中检索并解密 Base64 编码的配置p0^tWut=pswHL-x>>:m?^.^)W。
解密的配置包含有助于渗透过程的命令和控制服务器地址。
在开始照片窃取操作之前,恶意软件通过向端点发送 GET请求与其C2基础设施建立通信/api/getImageStatus,传输应用程序详细信息和用户识别信息。
服务器以包含授权码的JSON结构进行响应,该授权码决定是否继续上传照片。
一旦获得授权,SparkKitty就会系统地访问设备的照片库,维护以前被盗图像的本地数据库,并/api/putImages使用多部分表单数据传输将新照片上传到端点。
结论
威胁行为者仍在积极入侵官方应用商店,不仅针对安卓系统,iOS系统也成为攻击目标。研究团队发现的间谍活动使用多种传播方式:它通过感染非官方来源恶意框架/SDK的应用进行传播,也通过直接在 App Store和Google Play上架的恶意应用进行传播。虽然该活动在技术或概念上并不复杂,但它至少从2024年初就开始了,并对用户构成了重大威胁。与之前发现的SparkCat间谍软件不同,该恶意软件在从图库中窃取照片时并不挑剔。虽然卡巴怀疑攻击者的主要目标是找到加密钱包种子短语的屏幕截图,但被盗图片中也可能包含其他敏感数据。
从传播来源来看,该间谍软件主要针对东南亚和中国的用户。然而,它没有任何技术限制,可以阻止其攻击其他地区的用户。
卡巴斯基的安全产品在检测到与此活动相关的恶意软件时返回以下结论:
HEUR:Trojan-Spy.AndroidOS.SparkKitty.*
HEUR:Trojan-Spy.IphoneOS.SparkKitty.*
参考资源
1、https://securelist.com/sparkkitty-ios-android-malware/116793/
2、https://cybersecuritynews.com/sparkkitty-ios-and-android-devices/
原文始发于微信公众号(网空闲话plus):瞄准中国和东南亚用户的最新移动间谍软件SparkKitty曝光
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论