iOSとAndroidを標的にした新種マルウェア「SparkKitty」
iPhoneおよびAndroid向けに登場した新たなマルウェア「SparkKitty」が確認された。
このスパイウェアは、スマートフォン内に保存された画像から仮想通貨ウォレットのシードフレーズを抽出し、資産を盗み出す危険性がある。公式アプリストアにも侵入していたことが報告されており、広範囲な被害が懸念されている。
Our researchers uncovered #SparkKitty, a stealthy Trojan targeting both #iOS and #Android devices.
It captures images and device data from infected phones and transmits them to the attackers. The Trojan was embedded in apps related to #crypto, gambling, and even a trojanized… pic.twitter.com/2CjjSwcpeo
— Kaspersky (@kaspersky) June 24, 2025
当社の研究者は、iOSとAndroidの両方のデバイスを標的とするステルス型のトロイの木馬「SparkKitty」を発見しました。感染したスマートフォンから画像やデバイスデータを取得し、攻撃者に送信します。このトロイの木馬は、暗号通貨やギャンブル関連のアプリ、さらにはTikTokのトロイの木馬版にも埋め込まれており、詐欺サイトだけでなくApp StoreやGoogle Playでも配布されていました。
SparkKittyは、ロシアのセキュリティ企業カスペルスキーが2025年1月に発見したマルウェアで、過去に確認された「SparkCat」の進化版とされている。感染源となるアプリは、仮想通貨関連サービスを装ったメッセンジャーやカジノアプリ、偽のTikTokアプリなど多岐にわたる。
なかでもメッセンジャーアプリ「SOEX」は、Google Play上で1万回以上ダウンロードされ、削除までに多数のデバイスに影響を及ぼした。SparkKittyはGoogle PlayやApp Storeといった正規のストアを経由して拡散されていた点でも特異であり、すでに一部の感染アプリは削除されている。
攻撃手法と技術的特徴
SparkKittyは、ユーザーから取得したフォトライブラリへのアクセス許可を利用し、端末内の画像データを定期的にスキャン。Google ML Kitなどの光学文字認識(OCR)技術を用いて、スクリーンショット内のシードフレーズや金融情報を抽出する。
iOSでは、AFNetworking.frameworkを装ったライブラリやエンタープライズプロファイルの悪用によりインストール制限を回避。Androidでは、KotlinベースのXposedモジュールやAES暗号を使用したC2サーバーとの通信機能が確認されている。
SparkKittyは前バージョンよりも広範な画像データを対象としており、仮想通貨に限らず、他の機密情報や個人情報も窃取される可能性がある。
ユーザーが取るべき対策
このマルウェアから資産と情報を守るためには、以下の点に留意する必要がある:
- アプリは必ずGoogle PlayやApp Storeなど、信頼できる公式ストアから入手
- ウォレットのシードフレーズは、いかなるアプリやウェブサイトにも入力しない
- スクリーンショットやメモに機密情報を残さず、端末への保存も避ける
- 非公式な仮想通貨関連アプリや改変版TikTokなどには特に注意を払う
感染アプリは正規版と外見が酷似している場合もあるため、日常的に最新のセキュリティ情報に目を通し、不審な挙動があればすぐにアンインストールや端末の初期化が推奨される。
