
Kaspersky ostrzega – pojawiła się nowa metoda kradzieży kryptowalut! Hakerzy nie próżnują – sprawdź jak się zabezpieczyć!
Hakerzy znowu robią piekło w branży kryptowalut. Eksperci z Kaspersky wykryli nowy szczep mobilnego malware’u o nazwie SparkKitty, który wykrada zrzuty ekranu z frazami seed portfeli kryptowalutowych. Złośliwe aplikacje przedostały się nawet do oficjalnych sklepów Google Play i App Store.
SparkKitty – następca SparkCat
Według raportu, który przedstawia Kaspersky, nowy wirus to ewolucja znanego już z początku 2024 roku malware’u SparkCat, który atakował użytkowników kryptowalut w Azji Południowo-Wschodniej i Chinach. SparkKitty działa na podobnej zasadzie — ukrywa się w pozornie legalnych aplikacjach, takich jak zmodyfikowane wersje TikToka, trackery kryptowalut, gry hazardowe i aplikacje z treściami dla dorosłych.
Jak działają hakerzy?
Schemat działania SparkKitty jest wyrafinowany, ale skuteczny:
- Podszywanie się pod popularne aplikacje – złośliwe oprogramowanie jest częścią aplikacji, które wyglądają jak bezpieczne i legalne narzędzia do śledzenia portfeli czy zarządzania krypto.
- Omijanie zabezpieczeń – aplikacje proszą użytkownika o instalację specjalnego profilu deweloperskiego. To pozwala im działać poza standardowymi zabezpieczeniami systemów Android i iOS.
- Dostęp do galerii zdjęć – po uruchomieniu malware czeka, aż użytkownik otworzy określone okna (np. czaty wsparcia) i wtedy prosi o dostęp do galerii zdjęć. Po uzyskaniu zgody automatycznie skanuje obrazy metodą OCR (optycznego rozpoznawania tekstu), wyszukując zdjęcia z frazami seed.
- Kradzież i przesyłanie danych – zidentyfikowane zrzuty ekranu są potajemnie przesyłane do serwera atakujących.
Które aplikacje przejęli hakerzy?
Raport Kaspersky ujawnia, że niektóre zainfekowane aplikacje miały tysiące pobrań. Przykłady:
- Soex Wallet Tracker — aplikacja udająca menedżera portfela z funkcją śledzenia kursów w czasie rzeczywistym. Przed usunięciem z Google Play zanotowała ponad 5 000 instalacji.
- Coin Wallet Pro — fałszywy portfel multi-chain, który zyskał popularność dzięki reklamom w mediach społecznościowych i na Telegramie. Był dostępny w App Store przez krótki czas.
Jak się chronić?
Kaspersky powiadomił już Google i Apple — zainfekowane aplikacje zostały usunięte ze sklepów. Mimo to eksperci ostrzegają, że cyberprzestępcy stale tworzą nowe warianty SparkKitty i mogą próbować kolejnych ataków.
Użytkownicy powinni:
- Unikać instalacji aplikacji spoza oficjalnych sklepów
- Nie udzielać aplikacjom podejrzanych uprawnień do galerii zdjęć
- Nie zapisywać fraz seed jako zrzutów ekranu — najlepiej przechowywać je offline, w formie fizycznej kopii
- Regularnie aktualizować oprogramowanie zabezpieczające
SparkKitty to kolejny dowód na to, że traderzy krypto są na celowniku cyberprzestępców. Atak oparty na kradzieży fraz seed może skutkować natychmiastową utratą środków z portfela. Eksperci apelują o ostrożność i edukację — szczególnie w regionach o rosnącej popularności naszej branży, takich jak Azja Południowo-Wschodnia.