Nem csak kriptóra vadászik
A kriptotárca telepítésekor mindig megjelenik a helyreállító kulcsmondat, amelyet biztonsági okokból papírra kellene írni és offline helyen tárolni. Sokan azonban egyszerűségből lefotózzák ezt a mondatot – ez a SparkKitty számára óriási lehetőség. A kártevő minden fényképet, így akár személyes vagy kínos tartalmakat is ellop a galériából, nem válogat a fájlok között. Ezeket aztán titkosítva továbbítja a támadók szervereire, akik zsarolásra vagy további visszaélésekre használhatják őket.
Komplett ökoszisztéma: több appon át fertőz
A SparkKitty legalább 2024 februárja óta aktív, hivatalos és nem hivatalos alkalmazás-áruházakban is terjed. A Kaspersky, neves biztonsági kutatócég, a „coin” nevű appot találta veszélyesnek az Apple App Store-ban, valamint a SOEX nevű üzenetküldő alkalmazást a Google Play-en (ez utóbbit több mint 10 000-en töltötték le). Ezek az appok már nem érhetők el, de a fertőzés gyorsan terjedt: népszerű alkalmazások, hamis kriptotárca-boltok, szerencsejáték- és felnőttjáték-klónok is terjesztették, gyakran TikTok álcában.
iOS-en álframeworkökbe csomagolva vagy vállalati tanúsítványokkal került a telefonokra, Androidon Java/Kotlin alkalmazásokban, akár Xposed/LSPosed modulok segítségével rejtőzött. A kártevő aktiválásakor jelszavas titkosítással (AES-256 ECB) tölti be a beállításokat, majd hozzáférést kér a képekhez, és automatikusan elindul.
Mire figyelj: a megelőzés fél siker
Tulajdonképpen bárki veszélyben van, aki bármilyen alkalmazásnak engedélyezi a galéria vagy tárhely használatát. Az ártalmatlannak tűnő alkalmazások is tartalmazhatnak kártékony kódot, amely az első indításkor már a háttérben dolgozni kezd. Gyanús lehet, ha kevés letöltéshez aránytalanul sok extra pozitív értékelés társul, vagy az alkalmazás fejlesztőinek múltja homályos.
Telepítéskor csak akkor adj hozzáférést a fotókhoz és tárhelyhez, ha az valóban szükséges. iOS-en kerüld a nem megbízható konfigurációs profilokat és tanúsítványokat, Androidon kapcsold be a Google Play Protectet, és végezz időnként teljes rendszerellenőrzést.
A kriptotárca helyreállítási mondatát soha ne őrizd mobilon (főleg képként), hanem offline, biztonságos helyen tárold – ma már ezt célzottan keresik a kártevők.
