研究人员发现谷歌和苹果应用程序中存在加密窃取恶意软件

该恶意软件会扫描用户的图片，查找包含钱包恢复短语的图片。匹配的图片会被加密并传输到远程服务器。

卡巴斯基研究人员详细介绍了一个跨平台恶意软件活动，该活动通过恶意移动应用程序针对加密货币钱包恢复短语。

根据最近的一份报告，"SparkCat "活动使用嵌入在修改过的消息应用程序和其他应用程序中的恶意软件开发工具包（SDK）来扫描用户的图片库，以获取敏感的恢复数据。首次观察到这种技术是在 2023 年 3 月。

当时，网络安全研究人员观察到消息应用程序中的恶意软件功能正在扫描用户图库，以获取加密钱包恢复短语（俗称助记符），并将其发送到远程服务器。

研究人员说，最初的活动只是通过非官方应用程序源影响安卓和 Windows 用户。

而 2024 年底发现的 SparkCat 并非如此。这次新的攻击利用了一个 SDK 框架，它被集成到了安卓和 iOS 设备的官方和非官方应用市场上的各种应用中。

在一个实例中，Google Play 上一款名为 "ComeCome "的送餐应用程序被发现包含恶意 SDK。这些受感染的应用程序总共被安装了超过 24.2 万次，后来在苹果 App Store 上的应用程序中也发现了类似的恶意软件。

加密网络安全公司 Hacken 的 dApp 审计技术主管 Stephen Ajayi 告诉Decrypt，应用商店采用的预防措施通常是自动检查，很少包括人工审查。

区块链分析公司AMLBot首席执行官斯拉瓦-德姆丘克（Slava Demchuk）进一步强调，代码混淆和恶意更新会使问题变得更加复杂，因为它们会在应用程序获得批准后引入恶意软件。

"他告诉Decrypt："在 SparkCat 的案例中，攻击者混淆了入口点，以向安全研究人员和执法部门隐瞒他们的行动。"这种策略有助于他们逃避检测，同时对竞争对手保密。"

该恶意软件使用谷歌的ML Kit库对存储在用户设备上的图像进行光学字符识别（OCR）。当用户访问应用程序内的支持聊天功能时，SDK请求会提示用户读取图片库的权限请求。

如果获得许可，应用程序就会扫描图像，查找表明存在多种语言助记符的关键字。然后对匹配的图片进行加密并传输到远程服务器。

Demchuk 指出："这种攻击矢量很不寻常--我在 ATM 欺诈中见过类似的手段，攻击者会窃取 PIN 码。

他补充说，完成这样的攻击需要很高的技术水平，如果这个过程变得更容易复制，那么就会造成更大的损失。

"他说："如果有经验的欺诈者开始出售现成的脚本，这种方法就会迅速传播开来。

阿贾伊对此表示同意，并指出 "OCR 扫描是一个非常聪明的技巧"，但他认为仍有改进的空间。"想象一下，将 OCR 和人工智能结合起来，自动从图像或屏幕中挑出敏感信息。"

作为对用户的建议，Demchuk 建议在授予应用程序权限之前三思而后行。阿贾伊还建议，钱包开发人员 "应该找到更好的方法来处理和显示种子短语等敏感数据"。

编辑：Stacy Elliott

More News

• All
• CT
• Coindesk
• Decrypt
• DLNews