SparkKittyの主な目標は、暗号通貨ウォレットからのシードフレーズのスクリーンショットに焦点を当てて、アルバム内のすべての画像を盗むことです。 ニーモニックフレーズは、暗号ウォレットを回復するための唯一の資格情報であり、侵害されると、攻撃者はユーザーのウォレットを直接制御し、すべての資産を転送できます。 SparkCatと比べると、SparkKittyのOCR(Optical Character Recognition)技術はより効率的で、一部の亜種ではGoogle ML Kit OCRを使用してテキスト付きの画像のみをアップロードするため、サーバーの負担が軽減され、盗難効率が向上します。 さらに、ウイルスはデバイス識別子やブラウザのCookieなどの機密データを収集する可能性があるため、個人情報の盗難やアカウントの侵害のリスクが高まります。
Google Playの重災区:"SOEX"という名前の通信アプリが、"暗号化チャットと取引"機能を提供すると主張しており、累計ダウンロード数は1万回を超えています。さらに、ギャンブルとアダルトゲームのアプリもその重要な伝播媒体であることが確認されています。統計によると、SparkCat時代から現在まで、Google Play上の関連悪意あるアプリの累計ダウンロード数は24.2万回を超えています。
公式ストアが「トロイの木馬」の温床に?SparkKittyの真相:アルバムのニーモニックフレーズに対する精密な狩り
アタックの解剖学:SparkCatからSparkKittyへの「見えない」進化
2025年6月23日、Kasperskyの脅威調査チームは初めてSparkKittyを公開し、「非常にステルス性の高い画像窃取マルウェア」と呼びました。 このウイルスは、2024 年初頭に発見された SparkCat マルウェアと同じ起源を共有し、コード構造と攻撃手口は似ていますが、より高度な手法を備えています。 Kasperskyのアナリストによると、SparkKittyの最も初期の活動は2024年2月にさかのぼり、当初は東南アジアと中国を対象とし、暗号通貨、ギャンブル、メッセージングアプリを装ってユーザーのデバイスに侵入しました。
SparkKittyの主な目標は、暗号通貨ウォレットからのシードフレーズのスクリーンショットに焦点を当てて、アルバム内のすべての画像を盗むことです。 ニーモニックフレーズは、暗号ウォレットを回復するための唯一の資格情報であり、侵害されると、攻撃者はユーザーのウォレットを直接制御し、すべての資産を転送できます。 SparkCatと比べると、SparkKittyのOCR(Optical Character Recognition)技術はより効率的で、一部の亜種ではGoogle ML Kit OCRを使用してテキスト付きの画像のみをアップロードするため、サーバーの負担が軽減され、盗難効率が向上します。 さらに、ウイルスはデバイス識別子やブラウザのCookieなどの機密データを収集する可能性があるため、個人情報の盗難やアカウントの侵害のリスクが高まります。
囲いのある庭を攻撃する:公式ストアはどのように最大の攻撃ベクトルとなるのか?
SparkKittyの最も警鐘を鳴らす点は、最も安全だと考えられているアプリ配信チャネルであるApple App StoreとGoogle Playを成功裏に突破したことです。
公式アプリストアの審査メカニズムは、この攻防戦において力不足に見える。攻撃者は「トロイの木馬」戦略を利用し、一見無害なアプリに悪意のあるコードを偽装する:
App Storeの失陥:名を「コインコイン」とするアプリが、シンプルな暗号通貨の市場追跡インターフェースを隠れ蓑にして、無事に上架されました。これは、ユーザーの市場ツールへの信頼を利用して、フォトアルバムへのアクセス権を与えるように誘導しています。
Google Playの重災区:"SOEX"という名前の通信アプリが、"暗号化チャットと取引"機能を提供すると主張しており、累計ダウンロード数は1万回を超えています。さらに、ギャンブルとアダルトゲームのアプリもその重要な伝播媒体であることが確認されています。統計によると、SparkCat時代から現在まで、Google Play上の関連悪意あるアプリの累計ダウンロード数は24.2万回を超えています。
公式のチャネルに加えて、攻撃者は多次元の拡散マトリックスを補完しています:
非公式APK配布:YouTube広告、Telegramグループ、第三者ダウンロードサイトを通じて、TikTokのクラック版や人気のブロックチェーンゲーム、ギャンブルアプリに偽装したAPKインストーラを配布します。
iOS企業証明書の悪用:Appleの企業開発者プログラムを利用して、App Storeの厳しい審査を回避し、ウェブリンクを通じて直接ユーザーのデバイスにアプリをインストールする。
これらのアプリはインストールや実行時に、その権限要求(例えばアルバムへのアクセス)がアプリのコア機能の必要性として包装されていることが多く、ユーザーはうっかりと権限を付与してしまい、思わぬ危険を招くことがあります。
万人が被害を受け、資産がゼロに:アジア市場に対する「ローカライズ」なブリッツ戦
東南アジアと中国市場は、SparkKittyの主要なターゲットとなっています。これは偶然ではなく、慎重に計画された「ローカライズ」戦略です:
正確なユーザー画像:これらの地域は暗号通貨とモバイルギャンブルアプリの高度に活発な市場であり、ユーザー基盤が大きく、セキュリティ意識が比較的低い。
文化と言語の誘引:アプリ名(例えば「コインcoin」)、インターフェースデザイン、そして宣伝文はすべてローカライズされた言語を使用しており、さらには地域の人気のギャンブルゲーム要素を組み込むことで、ユーザーの警戒心を大幅に低下させています。
攻撃がアジアに集中しているにもかかわらず、カスペルスキーは、SparkKittyがテクニカルに国境を越えており、そのコードが容易に改造されて世界中のユーザーを攻撃できることを警告しています。X(元Twitter)では、セキュリティ専門家や暗号KOLが大規模な警告を発し、ユーザーに自己点検を呼びかけており、事件の恐慌感が世界中の暗号コミュニティに広がっています。その危険性は多層的です:
資産が即座に消失する:リカバリーフレーズはウォレットを復元する唯一の鍵です。一度漏洩すると、攻撃者は数分以内にユーザーのすべての暗号資産を移転させ、ほぼ回収不可能になります。
プライバシーが完全にさらけ出される:アルバムには、身分証明書、パスポート、銀行カード、家族の写真など、大量のプライバシー情報が保存されている可能性があります。一度、悪意のある産業に利用されると、その結果は想像を絶します。
チェーンアカウント:盗まれたクッキーや証明書は、ユーザーのソーシャルメディア、メールボックス、さらには銀行口座が乗っ取られる原因となる可能性があります。
深く考える:助記詞のスクリーンショットが「アキレス腱」となる時
プラットフォーム側は行動を起こしています。Googleは関連アプリを削除し、AppleもSparkCat事件のために約100の開発者アカウントを禁止しました。しかし、これは終わりのない「モグラたたき」のゲームのようです。攻撃者が検閲メカニズムの隙間を見つけ続ける限り、新しい「トロイの木馬」が次々と現れるでしょう。
SparkKittyの事件は業界全体に警鐘を鳴らし、いくつかの深刻なジレンマを暴露しました。
アプリストアの信頼危機:ユーザーの公式ストア「絶対安全」という迷信が打破された。プラットフォーム側は、単に静的コードスキャンに依存するのではなく、より積極的でスマートな動的行動検出メカニズムを導入する必要がある。
ユーザーの習慣と安全性の永遠の矛盾:便利さのために、ユーザーは最も簡単な方法、つまりスクリーンショットを使用して最も重要なデータをバックアップする傾向があります。この行動パターンは、安全システムの中で最も脆弱な部分に他なりません。
暗号の安全な「最後の1マイル」のジレンマ:ハードウェアウォレットがどれほど安全であっても、DeFiプロトコルがどれほど分散化されていても、ユーザーがこの「最後の1マイル」の助記詞管理でミスを犯せば、すべての防御線は無意味になる。
どうやって自分を守るか?羊が死んでから補うより、雨が降る前に備える方が良い。
悪習を根絶し、物理的バックアップを行う:アルバム、メモ帳、またはあらゆるネットワーク接続のクラウドサービスを使用してパスフレーズを保存する習慣を完全に捨てる。最も原始的で最も安全な方法に戻る:手書きの物理的バックアップを行い、異なる場所の安全な位置に保管する。
最小権限の原則:ケチのようにあなたのスマートフォンの権限を守りなさい。必要のないアルバム、連絡先、位置情報へのアクセス要求は全て拒否すべきです。
"クリーンルーム"環境を構築する:暗号資産を管理するために、専用のネットワークから隔離された古いスマートフォンを使用し、不明な出所のアプリはインストールしないことを検討してください。
SparkKittyはおそらく壊滅させられるでしょうが、次の「Kitty」がすでに醸成されています。この攻撃は、Web3の世界のセキュリティが単なるコードとプロトコルの戦争ではなく、人間性、習慣、認識に関する継続的な競争であることを私たちに思い出させます。絶対的な便利さの前で警戒を保つことは、すべてのデジタル市民の必修科目です。