Рубрики
Интернет

Лаборатория Касперского снова выявила вирус троян SparkCat в Google Play и App Store

В конце 2024 года аналитики Лаборатории Касперского наткнулись на подозрительный модуль внутри мобильного приложения для доставки еды ComeCome, доступного на обеих платформах — в Google Play и App Store. Один из компонентов вредоноса носил имя «Spark», а идентификатор бандла в iOS-версии оказался «bigCat.GZIPApp» — отсюда исследователи и склеили название: SparkCat. И вот в 2026 Лаборатория Касперского снова выявила вирус троянец SparkCat в Google Play и App Store.

Кто такая «Лаборатория Касперского»?

«Лаборатория Касперского» — российская компания в сфере кибербезопасности, основанная Евгением Касперским в 1997 году. Сегодня это один из крупнейших мировых игроков в области защиты от киберугроз: компания работает более чем в 200 странах, её продуктами пользуются как рядовые пользователи, так и корпорации и государственные структуры. Внутри компании существует специальное аналитическое подразделение — GReAT (Global Research and Analysis Team) — именно оно занимается охотой на сложные, нестандартные угрозы. Обнаружение SparkCat — одна из самых резонансных находок этой команды за последние годы.

Как был обнаружен SparkCat?

По данным компании, троянец был активен в App Store и Google Play как минимум с марта 2024 года. То есть почти год он существовал незамеченным в официальных магазинах.

Почему это событие стало историческим?

Хотя вредоносные приложения прежде уже находили в Google Play, SparkCat стал первым в истории стилером-трояном, обнаруженным в App Store. Apple традиционно позиционирует свою экосистему как более защищённую по сравнению с Android, поэтому находка произвела эффект разорвавшейся бомбы в индустрии.

Как работает SparkCat: механика атаки

Принцип работы трояна нетривиален и основан не на классических методах взлома, а на машинном обучении и оптическом распознавании текста (OCR).

Схема атаки выглядит так:

  1. Пользователь устанавливает заражённое приложение из официального магазина — оно выглядит и работает полностью нормально.
  2. В определённый момент (обычно при открытии чата поддержки или аналогичного экрана) приложение запрашивает доступ к фотогалерее.
  3. Разрешение на доступ к галерее выглядит совершенно логично с точки зрения пользователя — например, в приложении доставки еды это может быть нужно для загрузки фото в чат поддержки.
  4. Скрытый OCR-модуль (построенный на базе Google ML Kit) начинает сканировать все изображения в галерее в поисках текста.
  5. Если на фото обнаруживаются ключевые слова — прежде всего сид-фразы (seed phrases) для восстановления криптовалютных кошельков — изображение немедленно отправляется на сервер злоумышленников.

Адреса серверов для передачи данных (C2) хранились в облачных хранилищах Amazon AWS и GitLab — чтобы не вызывать подозрений у систем мониторинга трафика.

Масштаб заражения

Только из Google Play заражённые приложения были скачаны более 242 000 раз к моменту публикации исследования. Реальные цифры с учётом неофициальных источников были наверняка выше.

Исследователи выявили 10 заражённых приложений в Google Play и 11 в App Store. В их числе были:

  • сервисы доставки еды,
  • AI-мессенджеры,
  • криптовалютные кошельки и обменники,
  • новостные приложения,
  • VPN-клиенты.

Среди стран, попавших под прицел, — ОАЭ, Европа, Азия. Троянец умел распознавать текст на китайском, японском, корейском, английском, чешском, французском, итальянском, польском и португальском языках.

Что делало SparkCat особенно опасным?

1. Отсутствие видимых следов заражения. Не было никаких явных признаков того, что внутри приложения скрыт вредоносный имплант. Запрашиваемые разрешения выглядели оправданными и не вызывали подозрений.

2. Неясное происхождение заражения. Исследователи не смогли с уверенностью установить, было ли это результатом атаки на цепочку поставок (supply chain attack) или намеренным действием самих разработчиков. Часть приложений — например, сервисы доставки — выглядела абсолютно легитимно.

3. Широкая применимость. Хотя в данной кампании целью были seed-фразы для криптокошельков, технически троянец способен похитить любую информацию, которая когда-либо была сфотографирована или скопирована на экран: пароли, банковские документы, личные данные.

Реакция Apple и Google

Apple удалила заражённые приложения из App Store 6 февраля 2025 года, Google — 7 февраля 2025 года. Обе компании были заблаговременно уведомлены исследователями Касперского.

Продолжение истории: SparkKitty (2025)

История на этом не закончилась. В июне 2025 года Лаборатория Касперского объявила об обнаружении нового трояна-шпиона — SparkKitty, который снова проник в App Store и Google Play. Вредонос распространялся в том числе через поддельное приложение TikTok и криптовалютные приложения, а его основной целью стали пользователи из Юго-Восточной Азии и Китая.

Появление обновлённых вариантов SparkCat свидетельствует о том, что стоящие за ним злоумышленники активно развивают своё вредоносное ПО — это не разовая акция, а долгосрочная и эволюционирующая угроза.

Как защититься?

Лаборатория Касперского дала следующие практические рекомендации:

  • Не делайте скриншоты паролей, seed-фраз и конфиденциальных документов. Если они уже есть в галерее — удалите их.
  • Используйте менеджеры паролей (например, Kaspersky Password Manager) вместо того, чтобы хранить секреты в виде фото.
  • Если вы установили одно из заражённых приложений — немедленно удалите его и переведите средства на новый криптокошелёк с новой seed-фразой.
  • Установите мобильное антивирусное решение — даже официальные магазины больше не являются 100% гарантией безопасности.
  • Само по себе вредоносное ПО не закрепляется в системе и не распространяется по сети — оно существует только пока установлено заражённое приложение. Удаление приложения решает проблему.

История SparkCat разрушила один из главных мифов мобильной безопасности — что официальные магазины приложений являются надёжным щитом от угроз. Лаборатория Касперского в очередной раз продемонстрировала, что даже самые изощрённые угрозы можно обнаружить при должном уровне экспертизы — но при этом напомнила: бдительность самого пользователя по-прежнему остаётся главной линией обороны.

Один ответ к “Лаборатория Касперского снова выявила вирус троян SparkCat в Google Play и App Store”

К этой истории важно добавить несколько уровней контекста, которые делают SparkCat не просто “ещё одним трояном из магазина приложений”, а примером смены парадигмы мобильных атак.

Во-первых, ключевой сдвиг здесь — переход от классического кражи данных “изнутри устройства” к кражe данных “из пользовательского поведения”. Традиционные стилеры раньше искали логины, базы, файлы или перехватывали ввод. SparkCat же атакует не систему как таковую, а человеческую привычку: хранить чувствительную информацию в виде изображений. Это принципиально важный момент — вредоносное ПО начинает эксплуатировать не уязвимости ОС, а уязвимости когнитивных паттернов пользователя.

Во-вторых, использование OCR-модуля внутри трояна показывает, как сильно размывается граница между “легитимной ML-функцией” и вредоносной логикой. Технологии вроде Google ML Kit сами по себе нейтральны, но встраивание их в контекст локального анализа галереи делает атаку крайне трудно обнаруживаемой на уровне сигнатур. По сути, это уже не вирус в классическом понимании, а поведенческий агент, который использует штатные компоненты платформы.

Отдельно стоит подчеркнуть архитектурную проблему экосистемы мобильных магазинов. App Store и Google Play исторически опираются на модель “pre-moderation + пост-мониторинг”, но SparkCat и его производные показывают пределы этой модели: приложение может быть полностью легитимным на момент ревью, а вредоносная логика может активироваться позже, через обновление, серверную конфигурацию или условные триггеры. Это делает контроль статической проверки фактически недостаточным.

Ещё один важный слой — supply chain ambiguity. Неясность происхождения заражения (разработчик vs. компрометация цепочки поставки) — это не просто исследовательская неопределённость, а фундаментальная проблема современной мобильной разработки. Сборки, зависимости, сторонние SDK и рекламные библиотеки формируют сложную экосистему, где конечное приложение может содержать код, происхождение которого сложно трассировать даже самому разработчику.

Если смотреть шире, SparkCat и SparkKitty укладываются в тенденцию “low-and-slow exfiltration”: вместо быстрого взлома и массового вывода данных злоумышленники переходят к тихому сбору высокоценных артефактов (seed-фразы, резервные коды, скриншоты документов). Это делает такие атаки экономически эффективнее и менее заметными, особенно в криптовалютной среде, где одна успешная кража может окупить всю кампанию.

Практический вывод из этой эволюции выходит за рамки антивирусной гигиены. Основной вектор защиты смещается от “проверки приложений” к “гигиене хранения данных”: минимизация хранения секретов в визуальной форме, изоляция криптокошельков, отказ от скриншотов как метода резервного копирования и использование аппаратных или детерминированных менеджеров ключей.

В итоге SparkCat можно рассматривать как маркер нового класса угроз: мобильных “семантических стилеров”, которые не ломают систему напрямую, а интерпретируют её содержимое. И это делает их опасными не из-за сложности эксплуатации, а из-за того, насколько органично они встраиваются в нормальное поведение пользователя и стандартную функциональность приложений.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *