Обновленный троян SparkCat научился распознавать английский язык

Специалисты «Лаборатории Касперского» зафиксировали активное распространение обновленной модификации трояна SparkCat. Вредоносное ПО специализируется на поиске и краже мнемонических (seed) фраз от криптовалютных кошельков, сохраненных в виде скриншотов или фотографий в памяти мобильного устройства.

Механизмы работы и вектор распространения

Впервые вредонос был идентифицирован в феврале 2025 года. Алгоритм его работы базируется на использовании встроенных моделей оптического распознавания текста (OCR). После того как пользователь предоставляет приложению разрешение на доступ к медиафайлам, вредонос сканирует галерею в поисках изображений, содержащих характерные последовательности слов, используемые для восстановления доступа к криптоактивам. Получив seed-фразу, злоумышленники могут полностью восстановить кошелек жертвы на собственном оборудовании, что практически исключает возможность возврата похищенных средств.

Распространение SparkCat происходит через легитимные на первый взгляд сервисы: под видом корпоративных мессенджеров или агрегаторов доставки еды троян проникал как в Google Play, так и в Apple App Store. На текущий момент большинство скомпрометированных позиций уже удалено из официальных сторов.

Расширение лингвистических возможностей

Если ранняя версия SparkCat была ориентирована преимущественно на азиатский регион, то обновленный вариант демонстрирует значительное расширение целевой аудитории. Версия трояна, предназначенная для Android, поддерживает распознавание текста на китайском, японском и корейском языках, что указывает на приоритизацию пользователей из стран Восточной и Юго-Восточной Азии. Более того, аналитики полагают, что разработчики вредоноса являются носителями китайского языка.

Важным изменением стало внедрение поддержки английского языка в версии для iOS. Если коротко, это радикально увеличивает потенциальную географию атак, выводя активность группы за рамки азиатского рынка. В версии для ОС Android разработчики также применили сложные методы сокрытия кода: виртуализацию и использование кроссплатформенных языков программирования, что существенно усложняет процедуру обратной разработки и анализа сигнатур.

Экспертная оценка рисков

Никита Павлов, эксперт по информационной безопасности компании SEQ, указывает на критический момент при установке SparkCat — запрос доступа к файловой системе. Специалист подчеркивает, что избыточные привилегии, которые запрашивает приложение, являются тревожным сигналом. В частности, для приложения службы доставки нет объективных причин требовать перманентного доступа к фотогалерее пользователя. Даже при загрузке ПО из официальных магазинов такие запросы служат маркером потенциально опасного функционала.

С технической точки зрения безопасность криптоактивов в мобильной среде остается уязвимой, пока пользователи продолжают хранить мнемонические фразы в виде графических файлов. Операторы блокчейн-сервисов настойчиво напоминают о недопустимости хранения подобных данных на устройствах с постоянным интернет-подключением. Применение защитных решений для мобильных устройств в текущих условиях является необходимым уровнем защиты против подобных автоматизированных систем кражи данных.