Natychmiast wywal to z telefonu. Kradnie zdjęcia i pieniądze
W aplikacjach dostępnych w sklepach Google Play i App Store wykryto nowe złośliwe oprogramowanie o nazwie SparkKitty. Malware atakuje użytkowników smartfonów z systemami Android oraz iOS, a jego celem są między innymi zdjęcia z ich galerii. To jednak dopiero początek.
Prosto z oficjalnych sklepów
SparkKitty to efekt ewolucji wcześniejszego wirusa SparkCat, którego odkryto na początku 2025 roku. Tamten złośliwy kod potrafił wykradać hasła odzyskiwania portfeli kryptowalutowych, odczytując je ze zdjęć zapisanych na telefonie za pomocą technologii OCR (rozpoznawanie tekstu ze zdjęć).
Nowy wariant idzie jeszcze dalej. SparkKitty kopiuje wszystkie zdjęcia z galerii telefonu, bez względu na ich zawartość. Nawet jeśli nie używasz kryptowalut, to i tak możesz stać się celem cyberprzestępców. Złodzieje mogą wykorzystać prywatne zdjęcia do szantażu lub innych oszustw.
Aplikacje udające coś innego
Według raportu firmy Kaspersky, SparkKitty był obecny między innymi w aplikacjach o nazwach 币coin (w App Store) i SOEX (w Google Play). Ta druga została pobrana ponad 10 tysięcy razy, zanim została usunięta. Udawała zwykły komunikator z funkcją wymiany kryptowalut.
Co gorsza, złośliwe wersje SparkKitty znaleziono też w nieoficjalnych kopiach TikToka, aplikacjach hazardowych, grach erotycznych oraz fałszywych sklepach z kryptowalutami. Te jednak są rozpowszechniane przede wszystkim poza oficjalnymi sklepami z aplikacjami dla urządzeń z Androidem oraz iOS/iPadOS.
Jak działa SparkKitty?
Na iPhone'ach SparkKitty podszywa się pod komponenty systemowe, takie jak AFNetworking.framework czy libswiftDarwin.dylib. Zdarza się, że instaluje się przy pomocy profilu firmowego, co pozwala ominąć ograniczenia App Store.
Na Androidzie złośliwy kod jest ukryty w aplikacjach napisanych w Java/Kotlin i czasem korzysta z modułów takich jak Xposed/LSPosed.
Gdy użytkownik przyzna dostęp do galerii lub pamięci, malware automatycznie zaczyna monitorować zdjęcia i wysyła je na zdalny serwer. W niektórych wersjach SparkKitty wykorzystuje Google ML Kit OCR, by wyłapywać obrazy zawierające tekst. Na przykład frazy odzyskiwania portfeli kryptowalutowych.
Co możesz stracić?
Największym zagrożeniem są zdjęcia z hasłami odzyskiwania kryptowalut. Oszuści, mając taki dostęp, mogą przejąć Twój portfel i ukraść wszystkie zgromadzone środki.
Nawet jednak jeśli nie używasz kryptowalut, to SparkKitty i tak może być niebezpieczny. Twoje prywatne zdjęcia, dokumenty, zrzuty ekranu z banku czy korespondencji mogą trafić w niepowołane ręce.
Nie daj się okraść
Aby nie paść ofiarą cyberprzestępców, warto się stosować do kilku poniższych zasad:
- Nie zapisuj haseł ani fraz odzyskiwania jako zdjęć. Zapisuj je ręcznie i przechowuj offline.
- Nie instaluj aplikacji spoza oficjalnych sklepów, a jeśli już musisz, sprawdzaj źródło.
- Zawsze weryfikuj, jakich uprawnień żąda aplikacja. Jeśli komunikator chce dostępu do zdjęć, to powinno Cię to zaniepokoić.
- Na Androidzie włącz Google Play Protect, a na iOS unikaj instalowania profili konfiguracyjnych z nieznanych źródeł.
- Sprawdzaj opinie i wydawcę aplikacji. Mała liczba pobrań i dużo podejrzanie pozytywnych recenzji to często znak ostrzegawczy.
Reakcja Google'a i Apple'a
Opisane wyżej aplikacje zostały już usunięte ze sklepów Google Play i App Store. Gigant z Mountain View przekazał, że zbanował dewelopera, a użytkownicy Androida są automatycznie chronieni przez Play Protect. Gigant z Cupertino na razie nie odniósł się oficjalnie do sprawy.
