卡巴斯基研究人员拥有 确定 自2024年3月以来,一个被称为SparkCat的恶意软件活动被称为SparkCat,在Android和iOS平台上分发了恶意应用程序。该恶意软件采用光学角色识别(OCR)来扫描图片库以获取加密货币钱包恢复短语。
“ Kaspersky威胁研究专业中心已经发现了一个新的数据窃取Trojan,SparkCat,自2024年3月以来,AppStore和Google Play都活跃于Appstore和Google Play。这是AppStore中出现的基于光学识别的恶意软件的第一个已知实例。 SparkCat使用机器学习来扫描图像库,并窃取包含加密货币钱包恢复短语的屏幕截图。它还可以在图像(例如密码)中找到并提取其他敏感数据。”
-Kaspersky
卡巴斯基(Kaspersky
这 调查由德米特里·卡利宁(Dmitry Kalinin)和谢尔盖·普赞(Sergey Puzan)进行的,指出,尽管某些受影响的应用程序(例如食品交付服务)似乎是合法的,但其他受影响的应用程序似乎故意欺骗用户。 2月6日,卡巴斯基(Kaspersky)确认,受影响的应用程序已从App Store中删除,Apple报告了11个应用程序的删除,该应用程序与先前拒绝或由于安全问题而被拒绝或删除的其他89个应用程序共享代码。
恶意软件主要是在名为ComeCome的iOS应用中发现的,该应用程序也出现在Google Play上。根据卡巴斯基(Kaspersky)的说法,该应用程序旨在通过捕获包含恢复短语的屏幕截图来抓住对用户的加密货币的访问,也称为种子短语。恶意软件通过使用破解OCR插件的恶意软件开发套件(SDK)来运行,该插件有助于扫描移动设备屏幕截图。
卡巴斯基强调说,被感染的Google Play应用程序已下载了242,000次。该事件标志着Apple App Store中感染了OCR间谍软件的应用程序的首次发现,挑战了该平台对恶意软件威胁的无误。
灵活的纤维恶意软件通过躲避Xprotect措施来针对Mac用户
恶意软件不仅针对加密钱包恢复短语,而且还足够灵活,可以从画廊中提取其他敏感信息,例如屏幕截图中捕获的消息或密码。研究人员强调,恶意软件的许可请求可能会显得良性或必要,从而使其逃避检测。
SparkCat恶意软件活动估计旨在针对欧洲和亚洲的Android和iOS用户。卡巴斯基指出,确切的感染方法仍在调查中,因为他们无法通过供应链攻击或恶意开发人员的行动来确认SparkCat是引入的。
在相关的发现中,Spark包含一个识别为Spark的混淆模块,主要用Java编写,该模块通过基于RUST的协议与远程命令和控制服务器(C2)服务器通信。连接到C2服务器后,恶意软件利用Google的ML套件库的TexTrectognizer界面从图像中提取文本。
其他分析表明,恶意软件的欺骗性使其误导用户在捕获恢复短语的屏幕截图后授予对其照片库的访问。卡巴斯基(Kaspersky)的详细报告指出:“它要求的权限可能似乎需要其核心功能或乍一看无害。”
特色图片来源: KeremGülen/意识形态图
