卡巴斯基對惡意軟件竊取移動設備上的加密種子短語發出警報

據報導，SparkKitty 間諜軟件通過官方應用商店，使用光學字符識別技術在 iOS 和 Android 平台上竊取包含種子短語的設備屏幕截圖。

SparkKitty 惡意軟件入侵官方應用商店，瞄準加密貨幣

卡巴斯基研究人員發現2025年1月，SparkKitty間諜軟件活動被曝光，此前他們曾發現SparkCat惡意軟件針對加密貨幣錢包。 新的威脅通過非官方渠道以及官方的Google Play和App Store平台分發惡意應用程序，受感染的應用程序已在研究人員通知後從Google Play下架。

SparkKitty 攻擊 iOS 和 Android 平台，並針對每個平台提供多種傳播機制。 在 iOS 平台上，惡意軟件的有效載荷通過偽裝成 AFNetworking.framework 或 Alamofire.framework 等合法庫的框架，或偽裝成 libswiftDarwin.dylib 等混淆庫的框架進行傳播。 malware還可以直接插入到應用程序中。

Android 操作系統同時使用 Java 和 Kotlin 語言，其中 Kotlin 版本被用作惡意 XPoSed 模塊。 大多數惡意軟件版本會不加區分地劫持設備上的所有圖像，但研究人員也檢測到類似的惡意集群，它們利用光學字符識別技術來攻擊包含敏感信息的特定圖片。

該活動至少自 2024 年 2 月起就開始活躍，並且還與之前的 SpARkCat 行動共享目標策略和基礎設施。

SparkKitty 的攻擊範圍比 SparkCat 針對加密貨幣種子短語的定向攻擊更廣，因為它會抓取受感染設備中所有可用的圖像。 這有可能竊取存儲在設備庫中的其他類型的敏感財務和個人信息。

來自不知名商店的 TikTok 插件是主要感染媒介

卡巴斯基分析師最初是在追踪定期傳播TikTok安卓應用修改版的可疑鏈接時發現該活動的。 修改後的應用會在用戶啟動主應用活動時執行額外的惡意軟件代碼。

配置文件 URL 在受感染的應用程序中顯示為按鈕，啟動 WebView 會話以顯示 TikToki Mall，這是一個接受加密貨幣購買消費品的互聯網購物門戶。

由於註冊和購買需要邀請碼，研究人員無法確定該商店的合法性或是否仍在運營。 iOS 感染媒介利用 Apple DeveloPEr Program 的企業配置文件來規避正常的應用安裝限制。

攻擊者劫持企業證書，用於企業級組織應用分發，使惡意應用無需 App Store 批准即可安裝在任何設備上。 企業配置文件濫用是不良應用（例如在線賭場、軟件破解和非法修改）開發者普遍使用的一種策略。

受感染的 TikTok iOS 應用程序版本在啟動時會請求照片庫權限，而 TikTok 正版版本則不具備該權限。 該惡意軟件集成到偽裝成 AFNetworking.framework 的框架中，並篡改了 AFImageDownloader 類和其他 AFImageDownloaderTool 組件。

Android 惡意軟件變種通過加密貨幣主題應用程序竊取圖像

SparkKitty 的 Android 版本通過加密貨幣主題應用程序運行，惡意代碼嵌入在入口點中。 惡意軟件請求包含命令和控制服務器地址的配置文件，並在與遠程服務器建立通信之前，使用 ECB 模式下的 AES-256 加密對其進行解密。

圖像竊取通過兩階段過程進行，包括設備指紋識別和選擇性上傳機制。 惡意軟件會結合設備 IMEI、MAC 地址和隨機 UUID 創建 MD5 哈希值，並將這些標識符存儲在外部存儲的文件中。

賭場應用程序利用 LSPosed 框架集成，充當惡意 Xposed 模塊，用於掛載應用程序入口點。 一款受感染的帶有加密貨幣交易功能的即時通訊應用程序在 Google Play 上的安裝量已超過 10,000 次，之後才根據卡巴斯基的通知被移除。

漸進式 Web 應用程序通過詐騙平台進行傳播，這些平台在熱門社交媒體平台上宣傳龐氏騙局。 這些包含 PWA 的頁面會提示用戶下載 APK 文件，這些文件會註冊內容下載處理程序，並通過 Google ML Kit 光學字符識別技術處理 JPEG 和 PNG 圖像，以識別包含文本的屏幕截圖。

Cryptopolitan 學院：厭倦了市場波動？ 了解 DeFi 如何助你建立穩定的被動收入。 立即註冊