卡巴斯基警告 SparkCat 恶意软件瞄准 Android 和 iOS 上的私钥

卡巴斯基对一种新发现的名为 SparkCat 的恶意软件发出了警报，该恶意软件针对 Android 和 iOS 设备上的私钥和加密货币钱包恢复短语。该恶意软件已被下载超过 200,000 次，并通过看似无害但包含恶意软件开发工具包 (SDK) 的应用程序传播。这些受感染的应用程序（例如食品配送和人工智能消息应用程序）可在 Google Play 和 App Store 上下载。

SparkCat 的工作原理：SparkCat 配备了光学字符识别 (OCR) 技术，可以扫描受害者的照片库以查找加密钱包恢复短语。这些短语通常存储在屏幕截图或保存的笔记中，恶意软件会搜索与这些短语相关的特定关键字。

以下是该恶意软件在两个平台上运行情况的细分：

• 在 Android 上： SparkCat 通过名为 Spark 的基于 Java 的 SDK 注入，它伪装成分析模块。当受感染的应用程序启动时，Spark 会从远程 GitLab 存储库检索加密的配置文件。之后，它使用 Google ML Kit 的 OCR 工具扫描设备图库中的图像，查找各种语言的钱包恢复短语，包括英语、中文、韩语、日语和其他欧洲语言。被盗数据随后被上传到攻击者控制的服务器，通常使用亚马逊云存储或基于 Rust 的协议，对数据进行加密并使检测复杂化。
• 在 iOS 上： iOS 版本通过应用程序中嵌入的恶意框架运行，伪装成 GZIP、googleappsdk 或 stat 等名称。该框架与 Google ML Kit 集成，从图库中的图像中提取文本。为了避免引起怀疑，只有当用户执行特定操作（例如打开支持聊天）时，它才会请求访问图库。

额外风险：恶意软件的灵活性意味着它可以窃取的不仅仅是加密钱包信息。它还可能泄露屏幕截图中存储的密码、消息和其他敏感数据。

地理影响：卡巴斯基估计 SparkCat 已经感染了超过 242,000 台设备，主要分布在欧洲和亚洲。虽然确切来源尚不清楚，但代码中嵌入的注释表明开发人员可能精通中文。

用户应该做什么：卡巴斯基敦促用户避免在屏幕截图中存储种子短语、私钥和密码等重要信息。用户从非官方来源下载应用程序时也应该小心，因为针对加密货币用户的恶意软件活动仍然是一个严重的威胁。

这并不是加密社区第一次遭遇如此复杂的攻击。 2024 年 9 月，币安标记了 Clipper 恶意软件，该恶意软件将复制到剪贴板的钱包地址替换为攻击者控制的地址。此类威胁因私钥被盗而导致加密货币领域遭受了最严重的损失。

SparkCat 强调了加密生态系统中恶意行为者带来的持续风险。用户必须采取额外的预防措施，例如避免将敏感信息存储在屏幕截图等容易访问的地方，并在使用移动应用程序时保持警惕。