卡巴斯基在App Store和Google Play发现新窃取加密货币的木马程序

卡巴斯基威胁研究专业中心现了一种新型数据窃取木马程序SparkCat，自2024年3月起活跃于AppStore和Google Play。这是首次在AppStore中发现基于光学识别的恶意软件实例。SparkCat利用机器学习技术扫描图库，窃取包含加密货币钱包恢复词组的截图。它还能发现并提取图像中的其他敏感性数据，如口令。

该恶意软件通过受感染的合法应用程序和诱饵进行传播，包括通讯软件、人工智能助手、食品配送、与加密货币相关的应用程序等。其中一些应用程序可在Google Play和App Store的官方平台上获得。

卡巴斯基遥测数据还显示，受感染的版本正在通过其他非官方管道分发。在Google Play上，这些应用程序已被下载超过242,000次。

该恶意软件主要针对阿联以及欧洲和亚洲国家的用户。这是专家们根据受感染应用程序的运行区域信息和恶意软件的技术分析得出的结论。SparkCat会扫描图片库中多种语言的关键字，包括中文、日语、韩语、英语、捷克语、法语、意大利语、波兰语和葡萄牙语。但是，专家认为受害者也可能来自其他国家。

SparkCat的工作原理。安装后，在某些情况下，这种新的恶意软件会请求浏览使用者智能手机图库中的照片。然后，它使用光学字元识别（OCR）模块分析存储图像中的文字。如果恶意软件检测到相关关键字，它会将图像发送给攻击者。

黑客的主要目标是找到加密货币钱包的恢复词组。有了这些信息，他们就可以完全控制受害者的钱包并窃取资金。除了窃取恢复词组外，该恶意软件还能从屏幕截图中提取其他个人信息，例如消息和口令。

卡巴斯基恶意软件分析师Sergey Puzan表示，这是个潜入到AppStore的基于光学字元识别（OCR）的木马程序，就App Store和Google Play而言，目前尚不清楚这些商店中的应用程序是通过供应链攻击还是其他各种方法入侵的。一些应用程序，例如食品派送服务应用程序，看起来是合法的，而另一些则明显是诱饵。

卡巴斯基恶意软件分析师Dmitry Kalinin补充，SparkCat攻击活动有一些独特的特性，因此非常危险。首先，它通过官方应用程序商店进行传播，并且没有明显的感染迹象。这种木马的隐蔽性使得商店管理员和手机用户都很难发现它。

此外，它要求的权限看似合理，很容易被忽视。恶意软件试图浏览图库的权限，从用户的角度来看，似乎对于应用程序的正常运行至关重要。这种权限通常在相关的上下文中被请求，例如当使用者联系客户支持时。

卡巴斯基专家分析了该恶意软件的Android版本，发现代码中包含用中文写的注释。此外，iOS版本中包含开发者主目录名称「qiongwu」和「quiwengjing」，这表明该恶意软件活动背后的威胁行为者精通中文。但是，目前没有足够的证据将这次攻击移动溯源到已知的网络犯罪组织。

网络犯罪分子越来越关注在其恶意工具中使用神经网络。在SparkCat案例中，其Android模块使用Google ML Kit库解密并执行一个OCR外挂程序，以识别存储图像中的文本。其 iOS恶意模块也使用了类似的方法。

为了避免成为此类恶意软件的受害者，卡巴斯基建议采取以下安全措施：如果安装其中一个受感染的应用程序，请将其从设备中删除，并在发布更新以消除恶意功能之前，请勿使用该应用程序。

避免将包含敏感信息的屏幕截图（包括加密货币钱包的恢复词组）存储在图库中。例如，口令可以存储在专门的应用程序中，如卡巴斯基口令管理器，并可使用可靠的网络安全软件，例如卡巴斯基高级版，可以防止恶意软件感染。