卡巴斯基网络安全研究人员发现了一个针对 iOS 和 Android 设备的复杂恶意软件活动,情况令人不安。该恶意软件被称为 SparkCat,利用光学字符识别 (OCR) 技术扫描用户的照片库,并从屏幕截图中提取敏感的加密货币钱包信息,特别是恢复短语。包含此恶意软件的恶意应用程序在 Google Play 和 Apple 的 App Store 上均被发现,这标志着 Apple 生态系统中首次已知的此类攻击实例。
SparkCat 恶意软件于 2024 年底首次被发现,但其起源可以追溯到同年 3 月。当用户与受感染应用程序中的支持功能交互时,它会请求访问用户的照片库。获得许可后,恶意软件会使用 OCR 技术(具体来说是 Google 的 ML Kit 库)来扫描图像以查找可识别的关键字,例如与加密货币钱包相关的恢复短语。如果恶意软件检测到包含恢复短语的图像,则会将其发送回命令和控制服务器,攻击者可以在其中使用提取的信息来破坏受害者的加密钱包。
卡巴斯基的研究揭示该恶意软件被嵌入至少 18 个 Android 应用程序和 10 个 iOS 应用程序中,其中一些应用程序已被下载数十万次。例如,像 ComeCome(食品配送服务)这样的应用程序被发现在两个平台上都藏有恶意软件。两款基于人工智能的聊天应用程序 WeTink 和 AnyGPT 也受到了感染。尽管谷歌已采取行动从其商店中删除了大部分受影响的 Android 应用程序,但有些应用程序仍然可用,继续构成风险。 iOS 应用程序的情况类似,卡巴斯基报告称,有些应用程序仍保留在 App Store 上。
SparkCat 的真正起源仍不清楚。卡巴斯基尚未确认该恶意软件是否是开发人员故意引入的,或者是否是供应链攻击的结果。然而,使用基于 Rust 的通信协议与命令和控制服务器进行交互是值得注意的。这种技术在移动应用程序中并不常见,可以进一步了解该活动背后的攻击者的复杂程度。值得注意的是,该恶意软件似乎主要针对欧洲和亚洲的用户,这表明威胁行为者可能会说流利的中文。
更多阅读:移动恶意软件攻击使用商店应用程序和 OCR 窃取加密货币恢复代码
SparkCat 特别危险的原因在于它的微妙性。应用程序中没有明显的恶意植入,并且恶意软件请求的权限通常看起来无害,使得用户很难识别威胁。该恶意软件使用 OCR 扫描用户的照片库,其中可能包含加密货币恢复短语等敏感图像,这会显着增加财务损失的风险。此外,恶意软件秘密运行的事实意味着用户可能在其加密钱包被清空之前都不会意识到违规行为。
这一事件凸显了适当的应用程序审查的重要性。尽管这些恶意应用程序可以在官方应用程序商店中找到,但它们仍然设法绕过安全措施并影响大量用户。卡巴斯基的调查结果严厉提醒用户,在授予应用程序权限时必须谨慎,尤其是在处理请求访问个人文件或图像的应用程序时。此外,建议用户将敏感信息(例如加密货币钱包恢复短语)存储在加密笔记存储或密码管理器中,而不是以屏幕截图等易于访问的格式存储。
虽然苹果和谷歌尚未提供有关 SparkCat 恶意软件的官方声明,但很明显,这次攻击凸显了复杂的恶意软件活动所构成的日益严重的威胁。用户保持警惕、定期检查应用程序权限并卸载任何可能受到威胁的应用程序以保护其个人数据非常重要。