卡巴斯基威胁研究专业中心现了一种新型数据窃取木马程序SparkCat,自2024年3月起活跃于AppStore和Google Play。这是首次在AppStore中发现基于光学识别的恶意软件实例。SparkCat利用机器学习技术扫描图库,窃取包含加密货币钱包恢复助记词的截图。它还能发现并提取图像中的其他敏感数据,如密码。
卡巴斯基已向谷歌和苹果公司报告了已知的恶意应用程序。
新型恶意软件如何传播
该恶意软件通过受感染的合法应用程序和诱饵进行传播——包括通讯软件、人工智能助手、食品配送、与加密货币相关的应用程序等等。其中一些应用程序可在Google Play和App Store的官方平台上获得。卡巴斯基遥测数据还显示,受感染的版本正在通过其他非官方渠道分发。在Google Play上,这些应用程序已被下载超过242,000次。
谁是被攻击目标
该恶意软件主要针对阿联酋以及欧洲和亚洲国家的用户。这是专家们根据受感染应用程序的运行区域信息和恶意软件的技术分析得出的结论。SparkCat会扫描图片库中多种语言的关键词,包括中文、日语、韩语、英语、捷克语、法语、意大利语、波兰语和葡萄牙语。但是,专家认为受害者也可能来自其他国家。
例如,与安卓版一样,iOS 版的食品配送应用程序 ComeCome 也受到了感染
SparkCat的工作原理
安装后,在某些情况下,这种新的恶意软件会请求访问用户智能手机图库中的照片。然后,它使用光学字符识别 (OCR) 模块分析存储图像中的文本。如果恶意软件检测到相关关键词,它会将图像发送给攻击者。黑客的主要目标是找到加密货币钱包的恢复助记词。有了这些信息,他们就可以完全控制受害者的钱包并窃取资金。除了窃取恢复助记词外,该恶意软件还能从屏幕截图中提取其他个人信息,例如消息和密码。
“这是首个已知的潜入到AppStore的基于光学字符识别(OCR)的木马程序,”卡巴斯基恶意软件分析师Sergey Puzan说:“就App Store和Google Play而言,目前尚不清楚这些商店中的应用程序是通过供应链攻击还是其他各种方法入侵的。一些应用程序,例如食品派送服务应用程序,看起来是合法的,而另一些则明显是诱饵。”
“SparkCat攻击活动有一些独特的特性,因此非常危险。首先,它通过官方应用程序商店进行传播,并且没有明显的感染迹象。这种木马的隐蔽性使得商店管理员和手机用户都很难发现它。此外,它要求的权限看似合理,很容易被忽视。恶意软件试图访问图库的权限,从用户的角度来看,似乎对于应用程序的正常运行至关重要。这种权限通常在相关的上下文中被请求,例如当用户联系客户支持时,”卡巴斯基恶意软件分析师Dmitry Kalinin补充说。
卡巴斯基专家分析了该恶意软件的安卓版本,发现代码中包含用中文写的注释。此外,iOS 版本中包含开发者主目录名称“qiongwu”和“quiwengjing”,这表明该恶意软件活动背后的威胁行为者精通中文。但是,目前没有足够的证据将这次攻击行动溯源到已知的网络犯罪组织。
机器学习增强的攻击
网络犯罪分子越来越关注在其恶意工具中使用神经网络。在 SparkCat 案例中,其 安卓模块使用 Google ML Kit 库解密并执行一个 OCR 插件,以识别存储图像中的文本。其 iOS 恶意模块也使用了类似的方法。
卡巴斯基解决方案可保护安卓和iOS用户免遭SparkCat的攻击。卡巴斯基产品将其检测为HEUR:Trojan.IphoneOS.SparkCat.* 和 HEUR:Trojan.AndroidOS.SparkCat.* 。
关于这次恶意软件攻击活动的详细报告,请参见Securelist。
为了避免成为此类恶意软件的受害者,卡巴斯基建议采取以下安全措施:
· 如果您安装了其中一个受感染的应用程序,请将其从设备中删除,并在发布消除恶意功能的更新之前不要使用该设备。
· 避免将包含敏感信息的屏幕截图(包括加密货币钱包的恢复助记词)存储在图库中。例如,密码可以存储在诸如卡巴斯基密码管理器之类的专用应用程序中。
· 可靠的网络安全软件,例如卡巴斯基高级版,可以防止恶意软件感染。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
