根據網絡安全公司卡巴斯基2月4日的報告,一種名為SparkCat的新惡意軟件已經成為安卓和iOS加密貨幣用戶的挑戰。該惡意軟件似乎嵌入在其他看似無害的應用程序中。此外,它通過一種複雜的方式從用戶的移動設備中獲取重要細節。
SparkCat通過光學字符識別技術掃描設備圖庫中保存的圖像,以恢復加密錢包恢復短語。用戶保存了一些與錢包相關的截屏和筆記的人可能成為數據洩露的受害者。
這種惡意軟件於2024年3月開始運行,並感染了包括AI消息應用和谷歌應用商店以及蘋果應用商店上的食品訂購服務在內的應用程序。有趣的是,這是第一次有基於OCR的此類惡意軟件利用蘋果設備竊取加密貨幣。
在Android上,它通過一個名為Spark的SDK傳播,該SDK基於Java,偽裝成分析模塊並注入到應用程序中。當用戶啟動被感染的應用程序時,惡意軟件將從遠程GitLab存儲庫中檢索加密的配置文件。
一旦激活,SparkCat使用Google ML Kit的OCR功能來掃描設備畫廊中的圖像。 它搜索與加密貨幣錢包恢復短語相關的關鍵詞,包括英語、中文、日語、韓語和多種歐洲語言,據卡巴斯基報道。
惡意軟件將圖像發送到受攻擊者控制的服務器,以外洩竊取的數據。傳輸方法包括使用亞馬遜雲存儲,以及基於Rust的協議。這使得跟蹤變得非常困難,因為涉及加密通信渠道和不尋常的數據傳輸技術。
SparkCat的iOS變體工作方式不同,它會將自身嵌入受損應用程序中,作為各種名稱的框架,如GZIP、googleappsdk或stat。這個惡意框架以Objective-C編寫,使用HikariLLVM進行混淆,並集成了Google ML Kit,用於對設備圖庫進行圖像分析。
與Android版本不同,在iOS中,惡意軟件僅在用戶執行特定操作時才請求訪問相冊,例如在受感染的應用程序中打開支持聊天。這樣可以最大程度地減少懷疑,同時允許惡意軟件檢索與錢包相關的信息。
卡巴斯基的報告稱,除了恢復短語之外,惡意軟件還能夠竊取其他敏感數據。這包括存儲的密碼和在截圖中捕獲的消息內容。安全專家估計,SparkCat已經侵害了超過242,000臺設備,主要位於歐洲和亞洲。
然而,該惡意軟件的來源未知。基於代碼註釋和錯誤消息,可以確定開發人員是中文母語者。針對加密貨幣用戶的惡意軟件攻擊不斷升級,黑客們一再找到規避應用市場強制實施的安全措施的方法。
2024年9月,幣安發現了Clipper惡意軟件,該軟件將複製的錢包地址替換為攻擊者控制的地址,導致受害者不知情地將資金髮送到欺詐目的地。正如我們討論過的,去年2024年,投資者在加密貨幣詐騙和黑客攻擊中損失了超過30億美元。
