最近,Kaspersky威胁研究专家中心发现了一种新的数据窃取木马,名为SparkCat,它自2024年3月以来已在AppStore和Google Play中活跃。这是首次出现基于光学字符识别(OCR)的恶意软件入驻AppStore的情况,SparkCat利用机器学习技术扫描用户的图片库,窃取存储中包含的加密货币钱包恢复短语的屏幕截图。除了窃取恢复短语,该木马还能够查找和提取图片中的其他敏感数据,例如密码等。 Kaspersky已经将已知的恶意应用报告给Google和Apple。这种恶意软件通过感染的合法应用程序和诱饵(例如:即时通讯软件、人工智能助手、外卖软件、与加密货币相关的应用等)传播。一些这些应用在Google Play和AppStore的官方平台上是可用的。
Kaspersky的遥测数据显示,感染版本的应用程序也通过其他非官方渠道传播。在Google Play中,这些应用的下载量已经超过242,000次。 该恶意软件主要针对阿联酋以及欧洲和亚洲的国家。专家们根据被感染应用的运营区域以及对该恶意软件的技术分析得出了这一结论。SparkCat可以扫描多种语言的图片库中的关键词,包括中文、日文、韩文、英语、捷克语、法语、意大利语、波兰语和葡萄牙语。然而,专家们认为,受害者可能来自其他国家。
一旦安装,该恶意软件在某些情况下会请求访问用户智能手机图库中的照片。随后,它使用OCR模块分析存储图片中的文本。如果窃取者检测到相关关键词,它会将图片发送给攻击者。 黑客的主要目标是查找加密货币钱包的恢复短语。通过这些信息,他们可以完全控制受害者的钱包并窃取资金。除了窃取恢复短语外,该恶意软件还能够从屏幕截图中提取其他个人信息,例如消息和密码。
Kaspersky的恶意软件分析师谢尔盖·普赞(Sergey Puzan)表示:“这是第一次已知的基于OCR的木马潜入AppStore。从目前AppStore和Google Play的情况来看,尚不清楚这些商店中的应用程序是通过供应链攻击还是其他多种方式被攻击的。有些应用,如外卖服务,看起来合法,而其他的显然是设计用作诱饵。” 另一位Kaspersky的恶意软件分析师德米特里·卡林(Dmitry Kalinin)补充道:“SparkCat活动具有一些独特特征,使其变得危险。首先,它通过官方应用商店传播,并在没有明显感染迹象的情况下运行。该木马的隐蔽性使得商店审核人员和移动用户都很难发现它。
此外,它请求的权限似乎是合理的,容易被忽视。 “对图库的访问请求对于用户而言似乎是该应用正常运行所必需的,从用户的角度来看是合情合理的。这种权限通常在用户联系客户支持时申请。” 在分析Android版本的恶意软件时,Kaspersky的专家在代码中发现了用中文编写的注释。此外,iOS版本中还包含了开发者的主目录名称“qiongwu”和“quiwengjing”,这表明该活动背后的威胁参与者精通中文。 但目前没有足够证据将该活动归因于已知的网络犯罪团伙。
网络犯罪分子越来越多地关注神经网络在其恶意工具中的应用。在SparkCat的案例中,Android模块通过Google ML Kit库解密并执行OCR插件,以识别存储图片中的文本。iOS恶意模块也采用了类似的方法。 总体而言,用户们在使用任何应用时都需保持警惕,尤其是来自官方应用商店的应用,因为它们仍然可能被恶意软件感染。为保护个人信息和财务安全,务必定期检查手机中的应用程序权限及其访问的内容,并确保只从可信的源下载应用。 在这个高度数字化的时代,保护隐私和安全显得尤为重要。
用户应加强对潜在网络攻击的了解,以防止成为下一个受害者。
