把手機相簿當成錢包密碼簿？新型木馬「SparkKitty」正鎖定你的加密資產

一款名為SpARkKitty的新型手機間諜軟體已入侵Apple App Store與Google Play，偽裝成加密主題應用程式及修改版工具，暗中竊取用戶相簿中的助記詞截圖與錢包憑證。

此惡意程式被視為2025年初曝光的SparkCat進化版。前代透過假客服聊天模組靜默存取相簿，而SparkKitty採用更精密的攻擊手法，卡巴斯基研究團隊週一報告指出。

與主要透過非官方Android套件散播的SparkCat不同，SparkKitty已確認存在於多款官方商店應用中，包括Google Play下載量破萬的「具交易所功能的通訊軟體」，以及iOS上偽裝成資產追蹤工具的「币coin」。

iOS版本核心採用武器化的AFNetWorking/Alamofire框架，攻擊者嵌入的自訂類別會透過Objective-C的+load選擇器在啟動時自動執行。

運行後首先讀取隱藏配置值，獲取C2伺服器地址，隨即掃描用戶相簿上傳圖片。這個指令控制中心能遠端下達竊資指令，並接收洩露資料。

Android變種則改造Java庫實現相同目的，透過Google ML Kit進行光學字元辨識。一旦偵測到助記詞或私鑰，立即標記檔案傳送至攻擊者伺服器。

iOS端透過企業級供應描述檔安裝——該技術本用於企業內部分發應用，現已成惡意程式溫床。

受害者被誘導手動信任顯示為「中國石化沙比克天津公司」的開發者證書，使木馬獲得系統級權限。

多組C2地址使用AES-256加密配置檔，存放於混淆處理的伺服器。解密後指向/aPI/putImages等端點，用於判斷上傳時機。

研究人員另發現採用偽造OpENSSL庫（libcrypto.dylib）的變種，其初始化邏輯經過混淆，顯示攻擊工具組持續進化。

雖多數惡意應用鎖定中國與東南亞用戶，但惡意程式本身並無地域限制。蘋果與谷歌接獲通報後已下架相關應用，但研究人員警告，此攻擊活動可能自2024年初持續至今，並透過側載應用與克隆商店擴散。

——譯者ShadowKiller