カスペルスキー、公式アプリストアに潜む新トロイの木馬「SparkKitty」を発見

このマルウェアは感染したスマートフォンから画像とデバイス情報を攻撃者のC2サーバーに送信する機能を持つ。SparkKittyは暗号通貨関連アプリやギャンブルアプリ、改変されたTikTokアプリに埋め込まれ、App StoreとGoogle Play、詐欺サイトを通じて配布された。

App Storeでは「币coin」という暗号通貨情報追跡アプリに潜んでいた。Google Playでは暗号通貨交換機能を持つメッセージングアプリSOEXに感染し、1万回以上インストールされた。

攻撃者の主な目標は東南アジアと中国の住民から暗号通貨ウォレットのシードフレーズを含む画像を盗むことと推定される。このキャンペーンは少なくとも2024年2月から活動している。

カスペルスキーはGoogleとAppleに悪意のあるアプリについて通知し、両社はアプリを削除した。技術的詳細から、2025年1月に発見されたSparkCatトロイの木馬との関連が示唆される。

From: SparkKitty, SparkCat’s little brother: A new Trojan spy found in the App Store and Google Play
https://securelist.com/sparkkitty-ios-android-malware/116793/

【編集部解説】

今回発見されたSparkKittyは、モバイルセキュリティの現状を象徴する深刻な事案です。特に注目すべきは、公式アプリストアという「信頼できる場所」が完全に安全ではないことを改めて証明した点でしょう。

App StoreやGoogle Playは厳格な審査プロセスを設けているとされていますが、SparkKittyの事例では巧妙な手法でこれらの防御を突破しています。iOSでは正規のフレームワークであるAFNetworking.frameworkやAlamofire.frameworkを装い、Androidでは悪意のあるXposedモジュールとして動作するなど、検出回避技術の高度化が顕著に現れています。

暗号通貨関連の脅威として見ると、従来のフィッシングサイトやマルウェアとは異なる新たな攻撃ベクトルを示しています。一部のバリアントではGoogle ML Kitという正規のOCR（光学文字認識）技術を悪用してシードフレーズのスクリーンショットを自動的に識別・窃取する手法を採用しており、ユーザーの利便性を逆手に取った巧妙な攻撃といえるでしょう。

技術的な観点では、AES-256暗号化を使用したC2サーバーとの通信や、複数のクラウドストレージサービスを設定ファイルの配布に利用するなど、インフラストラクチャの分散化が進んでいます。また、デバッグ機能として特定の条件下でのみ限定的な画像アップロードを行う仕組みも確認されており、攻撃者の慎重な運用姿勢が伺えます。（以下ソース）

2025年6月24日13:30
https://innovatopia.jp/cyber-security/cyber-security-news/58552/