カスペルスキーの研究者Sergey PuzanとDmitry Kalininが2025年6月23日、iOSとAndroidを標的とする新たなトロイの木馬スパイ「SparkKitty」を発見したと発表した。
このマルウェアは感染したスマートフォンから画像とデバイス情報を攻撃者のC2サーバーに送信する機能を持つ。SparkKittyは暗号通貨関連アプリやギャンブルアプリ、改変されたTikTokアプリに埋め込まれ、App StoreとGoogle Play、詐欺サイトを通じて配布された。
App Storeでは「币coin」という暗号通貨情報追跡アプリに潜んでいた。Google Playでは暗号通貨交換機能を持つメッセージングアプリSOEXに感染し、1万回以上インストールされた。
攻撃者の主な目標は東南アジアと中国の住民から暗号通貨ウォレットのシードフレーズを含む画像を盗むことと推定される。このキャンペーンは少なくとも2024年2月から活動している。
カスペルスキーはGoogleとAppleに悪意のあるアプリについて通知し、両社はアプリを削除した。技術的詳細から、2025年1月に発見されたSparkCatトロイの木馬との関連が示唆される。
From: 
SparkKitty, SparkCat’s little brother: A new Trojan spy found in the App Store and Google Play
【編集部解説】
今回発見されたSparkKittyは、モバイルセキュリティの現状を象徴する深刻な事案です。特に注目すべきは、公式アプリストアという「信頼できる場所」が完全に安全ではないことを改めて証明した点でしょう。
App StoreやGoogle Playは厳格な審査プロセスを設けているとされていますが、SparkKittyの事例では巧妙な手法でこれらの防御を突破しています。iOSでは正規のフレームワークであるAFNetworking.frameworkやAlamofire.frameworkを装い、Androidでは悪意のあるXposedモジュールとして動作するなど、検出回避技術の高度化が顕著に現れています。
暗号通貨関連の脅威として見ると、従来のフィッシングサイトやマルウェアとは異なる新たな攻撃ベクトルを示しています。一部のバリアントではGoogle ML Kitという正規のOCR(光学文字認識)技術を悪用してシードフレーズのスクリーンショットを自動的に識別・窃取する手法を採用しており、ユーザーの利便性を逆手に取った巧妙な攻撃といえるでしょう。
技術的な観点では、AES-256暗号化を使用したC2サーバーとの通信や、複数のクラウドストレージサービスを設定ファイルの配布に利用するなど、インフラストラクチャの分散化が進んでいます。また、デバッグ機能として特定の条件下でのみ限定的な画像アップロードを行う仕組みも確認されており、攻撃者の慎重な運用姿勢が伺えます。
地理的な標的設定も戦略的です。東南アジアと中国をメインターゲットとしているのは、これらの地域での暗号通貨普及率の高さと規制環境の複雑さを反映していると考えられます。配布されたアプリの多くが中国のギャンブルゲームやアダルトゲームであることも、この地域特化戦略を裏付けています。
規制面への影響も無視できません。公式ストアでの検出事例が増加することで、AppleやGoogleはより厳格な審査体制の構築を迫られる可能性があります。特にiOSでのエンタープライズプロビジョニングプロファイルの悪用は、Appleの開発者認証システムの見直しにつながる可能性があります。
長期的視点では、このような攻撃の高度化により、ユーザー側のセキュリティ意識向上とともに、アプリストア運営者側の責任範囲についても議論が活発化することが予想されます。また、暗号通貨業界全体にとっては、ウォレットセキュリティの根本的な見直しが求められる契機となるかもしれません。
【用語解説】
SparkKitty
カスペルスキーが2025年6月に発見した新たなトロイの木馬スパイウェア。iOSとAndroidの両方をターゲットとし、デバイスの画像ギャラリーから写真を盗み出してC2サーバーに送信する機能を持つ。
SparkCat
2025年1月にカスペルスキーが発見した先行のスパイウェア。OCR技術を使用して暗号通貨ウォレットのシードフレーズを含む画像を特定し窃取する。SparkKittyの前身とされ、同一の攻撃グループによる活動と推定される。
OCR(光学文字認識)
画像内のテキストを自動的に認識し、デジタルテキストに変換する技術。SparkKittyの一部バリアントはGoogle ML Kitを悪用してこの技術で暗号通貨関連の情報を含む画像を識別する。
シードフレーズ
暗号通貨ウォレットの復元に使用される12~24個の英単語の組み合わせ。これが漏洩すると第三者がウォレットにアクセス可能になるため、攻撃者の主要標的となっている。
プロビジョニングプロファイル
Appleが開発者に提供する証明書システム。アプリの署名検証とデバイスでの実行許可を管理する。エンタープライズプロファイルは組織内配布用だが、SparkKittyでは悪用されている。
AFNetworking.framework/Alamofire.framework
iOS開発で広く使用されるオープンソースのネットワーキングライブラリ。SparkKittyはこれらを偽装して正規フレームワークに見せかける手法を採用している。
C2サーバー(Command and Control)
マルウェアが攻撃者と通信するために使用するサーバー。感染したデバイスから情報を受信し、指示を送信する。SparkKittyは複数のC2サーバーを使用している。
Xposed/LSPosed
Androidアプリの動作を変更するためのフレームワーク。正規の用途もあるが、SparkKittyのKotlinバリアントは悪意のあるXposedモジュールとして動作する。
AES-256暗号化
SparkKittyがC2サーバーとの通信や設定ファイルの暗号化に使用している暗号化方式。ECBモードで実装されている。
【参考リンク】
カスペルスキー公式サイト(外部)
ロシア発祥の世界的なサイバーセキュリティ企業。今回のSparkKitty発見を報告した。
Securelist(カスペルスキー研究ブログ)(外部)
カスペルスキーの研究者が最新のサイバー脅威について詳細な技術分析を公開するプラットフォーム。
【参考記事】
Malware on Google Play, Apple App Store stole your photos—and crypto
SparkKittyの発見を報じるサイバーセキュリティ専門メディアの記事。公式アプリストアでの発見事例と影響について詳述している。
Kaspersky warns of SparkCat malware that targets private keys on Android and iOS
SparkKittyの前身であるSparkCatについて報じた記事。OCR技術を悪用した暗号通貨窃取手法の詳細を解説している。
【編集部後記】
今回のSparkKitty事案は、私たちが日常的に使用しているスマートフォンのセキュリティについて改めて考える機会を与えてくれました。皆さんは、App StoreやGoogle Playからダウンロードしたアプリを完全に信頼していませんか?また、写真ギャラリーへのアクセス許可を求められた際、その理由を深く考えずに承認していることはないでしょうか?
暗号通貨を扱う方であれば、シードフレーズのスクリーンショットを撮影して保存している方も多いかもしれません。このような習慣が、今回のような攻撃の標的となり得ることを知って、どのような対策を講じるべきか一緒に考えてみませんか?皆さんのセキュリティ対策や、この記事を読んで感じた疑問があれば、ぜひお聞かせください。
