App StoreとGoogle Playで発見された個人情報窃取マルウェア「SparkCat」

2025.2.21(金)

カスペルスキーのセキュリティ研究チームは、App StoreとGoogle Playで個人情報を窃取するマルウェア「SparkCat（スパークキャット）」を確認した。このマルウェアは、写真フォルダをスキャンし、暗号資産ウォレットの復元フレーズやパスワードを含むスクリーンショットを盗むことができる。公式ストアで光学文字認識（OCR）を悪用したマルウェアが確認されたのは、今回が初めてである。

SparkCatは、メッセンジャーやフードデリバリーアプリなどを装い、広範囲に拡散していた。感染したアプリの中には、正規のものを改変したものも含まれている。これらは、App StoreやGoogle Playで提供されるだけでなく、非公式のサイトでも配布されていた。特にGoogle Playでは、感染したアプリの累計ダウンロード数が24万回を超えていた。

このマルウェアは、日本語を含む複数の言語に対応しており、スマートフォンのギャラリー内の画像から特定のキーワードを検出する。標的となるのは暗号資産ウォレットの復元フレーズだけではなく、パスワードや銀行情報などの機密データも含まれる。

どのように情報が盗まれるのか

SparkCatは、インストール後に写真フォルダへのアクセス許可を求める。この要求は、アプリの機能に関連するように見えるため、不審に思わず許可するユーザーが多い。例えば、フードデリバリーアプリでは、カスタマーサポートとのやり取り時に画像を共有することが一般的である。これを利用し、自然な形でユーザーからアクセス権を得る手口が用いられている。

アクセスを許可すると、SparkCatはOCR技術を使用して、保存されている画像の中に暗号資産ウォレットの復元フレーズやバックアップコードを探す。検出した情報は攻撃者のサーバーへ送信され、ウォレットが乗っ取られる危険性がある。さらに、通常のテキストパターンだけでなく、AIによって学習された独自のルールに基づいて情報を選別する機能も備えている。

感染したアプリの一例として、「ComeCome」というフードデリバリーアプリが挙げられる。このアプリはGoogle PlayとApp Storeの両方で提供されており、UAEやインドネシアで広く利用されていた。ほかにも、AIアシスタントやニュースアプリなどが感染していた可能性がある。

研究チームは、SparkCatのAndroid版のコード内に中国語のコメントを確認している。また、iOS版の開発者ディレクトリ名には「qiongwu」「quiwengjing」といった文字列が含まれていた。これらの情報から、中国語を使用するグループが関与している可能性が考えられるが、特定の組織との関連を示す決定的な証拠は見つかっていない。

【関連リンク】
・App StoreとGoogle Playに侵入し、写真からデータを盗むトロイの木馬「SparkCat」(Kaspersky daily)
https://blog.kaspersky.co.jp/ios-android-ocr-stealer-sparkcat/37440/

TEXT：PreBell編集部
PHOTO：Freepik