SparkCat マルウェア

最近発見された「SparkCat」と呼ばれる脅威キャンペーンは、暗号通貨ウォレットの復元フレーズを収集するように設計された偽のアプリを使用して、Apple の App Store と Google Play の両方に侵入しました。これらのアプリケーションは、正規のサービスを装い、被害者のデバイスから秘密裏にニーモニックフレーズを抽出し、デジタル資産を危険にさらします。

OCR を利用してウォレット回復フレーズを収集する

SparkCat は、高度な光学文字認識 (OCR) モデルを活用して、ユーザーの写真ライブラリをスキャンし、ウォレット復元フレーズを含む画像を探します。検出されると、これらの機密画像はリモートのコマンド アンド コントロール (C2) サーバーに流出します。このキャンペーンの名前は、分析モジュールを装う Spark と呼ばれる Java コンポーネントを含む組み込みソフトウェア開発キット (SDK) にちなんで付けられています。この侵入がサプライ チェーン攻撃によるものなのか、開発者が意図的に導入したものなのかは不明です。

AppleのApp Storeに参入

OCR 機能を備えた Android の脅威はこれまでにも表面化していますが、SparkCat は Apple の App Store に侵入したこのような攻撃の最初の例の 1 つです。Google Play では、侵害されたアプリケーションは 2025 年 2 月 7 日に両方のプラットフォームから削除されるまでに 242,000 回以上ダウンロードされました。

マルチプラットフォーム運用

証拠によると、SparkCat は 2024 年 3 月から活動しています。その危険なアプリケーションは、公式アプリ ストアとサードパーティ アプリ ストアの両方で配布されています。不正なアプリケーションは、AI ツール、食品配達サービス、Web3 プラットフォームを偽装しており、疑いを避けるために一見正当な機能を提供するものもあります。

SparkCatがデータを収集する方法

Android デバイスでは、マルウェアは Google の ML Kit ライブラリを搭載した OCR プラグインを復号化して起動します。C2 サーバーから事前に定義されたキーワードに一致するテキストを画像ギャラリーでスキャンします。フラグが付けられた画像は攻撃者に送信されます。

SparkCat の iOS 版は、ML Kit ベースの OCR メカニズムを使用して機密情報を識別および抽出します。このバージョンでは、C2 サーバーとのやり取りに Rust ベースの通信フレームワークも採用しているのが特徴で、これはモバイル脅威では珍しい手法です。

攻撃の背後にいるのは誰ですか?

使用されているキーワードと分布パターンを分析すると、SparkCat は主にヨーロッパとアジアのユーザーをターゲットにしていることがわかります。証拠は、脅威アクターが中国語に堪能であることを示していますが、その正確な身元は不明です。

変装したステルス型トロイの木馬

SparkCat が特に欺瞞的なのは、警戒を喚起せずに動作できる点です。SparkCat が要求する権限は、アプリケーションの宣伝機能に必要なものであるか、無害であるように見えるため、疑惑を招かずに周囲に溶け込むことができます。このステルス的なアプローチにより、暗号通貨ウォレットが侵害される前にユーザーが脅威を認識することが難しくなります。