На початку 2025 року дослідники виявили в Apple App Store і Google Play троян SparkCat, призначений для крадіжки даних. Тепер експерти повідомляють, що в магазини додатків проник новий шкідник. Імовірно, він також націлений на криптовалютні активи жертв і пов’язаний зі SparkCat, тому отримав назву SparkKitty.

Новий шкідник поширюється через App Store, Google Play, а також шахрайські та сторонні сайти у складі неофіційної, модифікованої версії TikTok і під виглядом додатків, пов’язаних із криптовалютами та азартними іграми.

Троян передає зловмисникам зображення з галереї на зараженому телефоні та інформацію про пристрій. Експерти припускають, що основна мета атакувальників – крадіжка криптовалютних активів жителів країн Південно-Східної Азії та Китаю.

В iOS шкідливе навантаження представлено у вигляді фреймворків (в основному маскується під AFNetworking.framework або Alamofire.framework) і обфусцированих бібліотек, що мімікрують під libswiftDarwin.dylib, або безпосередньо вбудоване в додатки.

В App Store SparkKitty видавав себе за застосунок для відстеження курсів криптовалюти та отримання торгових сигналів. На підроблених сторінках, що імітують офіційний магазин застосунків для iPhone, шкідник поширювався у складі модифікацій TikTok і застосунків, пов’язаних з азартними іграми.

Дослідники попереджають, що SparkKitty не надто вибагливий у тому, які фотографії з галереї жертви він краде, але основна мета зловмисників – пошук скріншотів із фразами відновлення доступу до криптогаманців. До того ж вкрадені зображення можуть містити інші конфіденційні дані.