在一个令人震惊的网络安全事件中,安全研究公司Kaspersky最近发现了在苹果应用商店(App Store)中存在的恶意软件应用程序,这些应用程序旨在窃取用户的加密货币钱包恢复短语。这一事件标志着首次有恶意软件在苹果的官方应用商店中被发现,提醒了用户在数字资产安全方面需保持高度警惕。 此次攻击活动被命名为“SparkCat”,显然是因为一种名为“Spark”的恶意软件开发工具包(SDK)作为其核心组件之一。经过调查发现,这种恶意软件不仅影响安卓平台的应用程序,也在iOS平台上表现出风险。对此,用户的应用开发者可能并不了解他们所使用的工具包已被植入恶意代码。 根据Kaspersky的报告,在谷歌Play商店内,受感染应用已经被下载超过242,000次。
恶意SDK的运作原理是通过光学字符识别(OCR)技术,提取手机用户的屏幕截图中存储的加密货币钱包恢复短语。这一策略看似高效,因其能够在不知不觉中窃取用户的信息。 在安卓平台中,恶意SDK利用一个被伪装成分析模块的Java组件“Spark”来获取目标数据。同时,它还会将加密的配置信息存储在GitLab上,通过这个配置文件,恶意软件能够接收命令和操作更新。在iOS环境中,这一框架则采用不同的名称,如“Gzip”、“googleappsdk”或“stat”,并利用一种名为“im_net_sys”的Rust网络模块与攻击者的指挥和控制(C2)服务器进行通讯。 恶意软件会通过特定的关键词搜索设备中的图像,试图寻找包含加密货币恢复短语的信息。
有趣的是,该恶意SDK根据操作系统的语言加载不同的OCR模型,以识别拉丁文、韩文、中文和日文的字符。Kaspersky解释道这种针对性搜索可以进一步扩大影响面,尽管某些应用的用户群体的确是为了特定地区而设计的。 目前,Kaspersky已识别出18种受感染的安卓应用和10种iOS应用,其中许多仍然可以在各自的应用商店中找到。例如,安卓平台上的ChatAi应用程序已经被安装了超过50,000次,但是在报告发布后,它已从谷歌Play商店下架。 为了保障用户的安全,Kaspersky建议安装了这类恶意应用的用户立即卸载,并使用移动反病毒工具进行系统扫描,必要时考虑进行出厂重置。此外,用户在处理加密货币钱包恢复短语的过程中,应该避免将其存储为屏幕截图,而是应利用物理离线存储设备、加密可移动存储介质或自托管的离线密码管理器来保存它们。
针对这一事件,BleepingComputer已与苹果和谷歌联系,询问有关这些应用在各自应用商店中存在的原因。谷歌就此表示,所有识别出的应用程序都已从其Play商店中删除,开发者也被禁止使用相应的账号。谷歌发言人称,因谷歌Play保护功能的自动开启,安卓用户可以自由享受对已识别恶意应用的保护。 苹果方面也表示,他们在App Store上严格执法以确保安全与隐私。在Kaspersky的报告后,苹果从应用商店中移除了与之前被禁止的应用程序相关的11款欺诈应用。苹果同时强调,应用必须为访问敏感数据提供合理依据,用户始终对权限保持完全控制。
在2023年,苹果因为政策违规拒绝了170万个应用,包括84,000个因欺诈而被拒绝的申请。苹果还引入了增强隐私功能,例如选择性图片访问和应用隐私报告,以提高用户对数据使用和第三方跟踪的透明度。 在这个日益数字化的时代,用户的网络安全意识显得尤为重要。对于加密货币用户而言,定期检查和更新自己的安全措施是防范类似事件的关键。通过使用正规渠道下载应用程序、远离那些带有风险或可疑功能的应用代码,用户可以有效降低遭受数字资产损失的风险。尽管应用商店有严格的审核流程,但永远不能完全排除恶意软件的入侵,因此提高自身警觉性,掌握必要的安全知识,是每个用户应尽的责任。
。
