SparkKitty木马：新型iOS与Android间谍软件入侵官方应用商店

概述

2025年1月，卡巴斯基发现SparkCat间谍软件活动，旨在窃取受害者加密货币钱包。现在，研究人员再次发现新型间谍软件已入侵官方应用商店，疑似与SparkCat相关，同样针对受害者加密货币资产。

关键技术细节

跨平台感染

• 目标设备: iOS和Android
• 传播渠道: 第三方渠道、App Store和Google Play（部分应用已下架）
• iOS载荷: 通过伪装框架（AFNetworking.framework或Alamofire.framework）或混淆库（libswiftDarwin.dylib）传递，或直接嵌入应用
• Android载荷: Java和Kotlin版本，Kotlin版本为恶意Xposed模块

恶意行为

1. 配置获取: 从硬编码URL获取Base64编码的配置文件，使用AES-256 ECB模式解密（密钥: p0^tWut=pswHL-x>>:m?^.^)W 或 J9^tMnt=ptfHL-x>>:m!^.^)A）
2. C2通信: 解密后获取C2地址列表，向/api/getImageStatus发送GET请求获取上传授权
3. 数据窃取:
   • 请求相册访问权限
   • 监控相册变化并上传新图片
   • 使用本地数据库跟踪已上传图片
4. 数据外传: 通过PUT请求发送图片和设备信息至/api/putImages端点

混淆技术

• 使用LLVM混淆初始化函数
• 伪装为合法库（如libcrypto.dylib）
• 动态加载恶意配置

分布方法

• iOS: 滥用企业预置配置文件（ProvisionsAllDevices=true）
• Android: 通过修改版应用和恶意Xposed模块
• 社交工程: 仿冒App Store页面和社交媒体广告

活动集群关联

发现相关恶意活动集群使用OCR（Google ML Kit）筛选含特定文本的图片（如加密货币种子短语），并通过亚马逊AWS存储获取C2地址。

目标与影响

• 主要目标: 东南亚和中国用户
• 感染应用: 赌博应用、TikTok修改版、成人游戏
• 数据风险: 相册图片可能包含敏感信息（如加密货币凭证）

安全建议

• 仅从官方应用商店下载应用
• 谨慎处理应用权限请求（特别是相册访问）
• 使用安全软件检测恶意行为

IOCs（部分）

• C2地址: 23.249.28.88, 120.79.8.107
• 配置存储: hxxps://data-sdk2.oss-accelerate.aliyuncs[.]com/file/SGTMnH951121
• 检测名称: HEUR:Trojan-Spy.AndroidOS.SparkKitty., HEUR:Trojan-Spy.IphoneOS.SparkKitty.