卡巴斯基威脅研究專業中心現了一種新型資料竊取木馬程式 SparkCat,自 2024 年 3 月起活躍於 AppStore 和 Google Play。這是首次在 AppStore 中發現基於光學識別的惡意軟體實例。SparkCat 利用機器學習技術掃描圖庫,竊取包含加密貨幣錢包恢復詞組的截圖。它還能發現並提取圖像中的其他敏感性資料,如密碼。
卡巴斯基已向 Google 和蘋果公司報告了已知的惡意應用程式。
新型惡意軟體如何傳播
該惡意軟體通過受感染的合法應用程式和誘餌進行傳播——包括通訊軟體、人工智慧助手、食品配送、與加密貨幣相關的應用程式等等。其中一些應用程式可在 Google Play 和 App Store 的官方平臺上獲得。卡巴斯基遙測資料還顯示,受感染的版本正在通過其他非官方管道分發。在 Google Play 上,這些應用程式已被下載超過 242,000 次。
誰是被攻擊目標
該惡意軟體主要針對阿聯酋以及歐洲和亞洲國家的用戶。這是專家們根據受感染應用程式的運行區域資訊和惡意軟體的技術分析得出的結論。SparkCat 會掃描圖片庫中多種語言的關鍵字,包括中文、日語、韓語、英語、捷克語、法語、義大利語、波蘭語和葡萄牙語。但是,專家認為受害者也可能來自其他國家。
SparkCat的工作原理
安裝後,在某些情況下,這種新的惡意軟體會請求訪問使用者智慧手機圖庫中的照片。然後,它使用光學字元辨識 (OCR) 模組分析儲存圖像中的文字。如果惡意軟體檢測到相關關鍵字,它會將圖像發送給攻擊者。駭客的主要目標是找到加密貨幣錢包的恢復詞組。有了這些資訊,他們就可以完全控制受害者的錢包並竊取資金。除了竊取恢復詞組外,該惡意軟體還能從螢幕截圖中提取其他個人資訊,例如消息和密碼。
卡巴斯基惡意軟體分析師 Sergey Puzan 說,這是首個已知的潛入到 AppStore 的基於光學字元辨識(OCR)的木馬程式,就 App Store 和 Google Play 而言,目前尚不清楚這些商店中的應用程式是通過供應鏈攻擊還是其他各種方法入侵的。一些應用程式,例如食品派送服務應用程式,看起來是合法的,而另一些則明顯是誘餌。
卡巴斯基惡意軟體分析師 Dmitry Kalinin 補充說,SparkCat 攻擊活動有一些獨特的特性,因此非常危險。首先,它通過官方應用程式商店進行傳播,並且沒有明顯的感染跡象。這種木馬的隱蔽性使得商店管理員和手機用戶都很難發現它。此外,它要求的許可權看似合理,很容易被忽視。惡意軟體試圖訪問圖庫的許可權,從用戶的角度來看,似乎對於應用程式的正常運行至關重要。這種許可權通常在相關的上下文中被請求,例如當使用者聯繫客戶支援時。
卡巴斯基專家分析了該惡意軟體的安卓版本,發現代碼中包含用中文寫的注釋。此外,iOS 版本中包含開發者主目錄名稱“
qiongwu”和“
quiwengjing”,這表明該惡意軟體活動背後的威脅行為者精通中文。但是,目前沒有足夠的證據將這次攻擊行動溯源到已知的網路犯罪組織。
機器學習增強的攻擊
網路犯罪分子越來越關注在其惡意工具中使用神經網路。在 SparkCat 案例中,其安卓模組使用 Google ML Kit 庫解密並執行一個 OCR 外掛程式,以識別存儲圖像中的文本。其 iOS 惡意模組也使用了類似的方法。
卡巴斯基解決方案可保護安卓和iOS用戶免遭SparkCat的攻擊。卡巴斯基產品將其檢測為HEUR:Trojan.IphoneOS.SparkCat.* 和 HEUR:Trojan.AndroidOS.SparkCat.* 。
為了避免成為此類惡意軟體的受害者,卡巴斯基建議採取以下安全措施:
- 如果您安裝了其中一個受感染的應用程式,請將其從設備中刪除,並在發布更新以消除惡意功能之前,請勿使用該應用程式。
- 避免將包含敏感資訊的螢幕截圖(包括加密貨幣錢包的恢復詞組)存儲在圖庫中。例如,密碼可以存儲在專門的應用程式中,如卡巴斯基密碼管理器。
- 使用可靠的網路安全軟體,例如卡巴斯基高級版,可以防止惡意軟體感染。