根据网络安全公司卡巴斯基2月4日的报告,一种名为SparkCat的新恶意软件已经成为安卓和iOS加密货币用户的挑战。该恶意软件似乎嵌入在其他看似无害的应用程序中。此外,它通过一种复杂的方式从用户的移动设备中获取重要细节。
SparkCat通过光学字符识别技术扫描设备图库中保存的图像,以恢复加密钱包恢复短语。用户保存了一些与钱包相关的截屏和笔记的人可能成为数据泄露的受害者。
这种恶意软件于2024年3月开始运行,并感染了包括AI消息应用和谷歌应用商店以及苹果应用商店上的食品订购服务在内的应用程序。有趣的是,这是第一次有基于OCR的此类恶意软件利用苹果设备窃取加密货币。
在Android上,它通过一个名为Spark的SDK传播,该SDK基于Java,伪装成分析模块并注入到应用程序中。当用户启动被感染的应用程序时,恶意软件将从远程GitLab存储库中检索加密的配置文件。
一旦激活,SparkCat使用Google ML Kit的OCR功能来扫描设备画廊中的图像。 它搜索与加密货币钱包恢复短语相关的关键词,包括英语、中文、日语、韩语和多种欧洲语言,据卡巴斯基报道。
恶意软件将图像发送到受攻击者控制的服务器,以外泄窃取的数据。传输方法包括使用亚马逊云存储,以及基于Rust的协议。这使得跟踪变得非常困难,因为涉及加密通信渠道和不寻常的数据传输技术。
SparkCat的iOS变体工作方式不同,它会将自身嵌入受损应用程序中,作为各种名称的框架,如GZIP、googleappsdk或stat。这个恶意框架以Objective-C编写,使用HikariLLVM进行混淆,并集成了Google ML Kit,用于对设备图库进行图像分析。
与Android版本不同,在iOS中,恶意软件仅在用户执行特定操作时才请求访问相册,例如在受感染的应用程序中打开支持聊天。这样可以最大程度地减少怀疑,同时允许恶意软件检索与钱包相关的信息。
卡巴斯基的报告称,除了恢复短语之外,恶意软件还能够窃取其他敏感数据。这包括存储的密码和在截图中捕获的消息内容。安全专家估计,SparkCat已经侵害了超过242,000台设备,主要位于欧洲和亚洲。
然而,该恶意软件的来源未知。基于代码注释和错误消息,可以确定开发人员是中文母语者。针对加密货币用户的恶意软件攻击不断升级,黑客们一再找到规避应用市场强制实施的安全措施的方法。
2024年9月,币安发现了Clipper恶意软件,该软件将复制的钱包地址替换为攻击者控制的地址,导致受害者不知情地将资金发送到欺诈目的地。正如我们讨论过的,去年2024年,投资者在加密货币诈骗和黑客攻击中损失了超过30亿美元。
