Kaspersky研究人员详细介绍了一个跨平台的恶意软件活动,该活动通过恶意的移动应用程序瞄准加密货币钱包恢复短语。

根据最近的一份报告,这个名为"SparkCat"的活动使用了一个恶意的软件开发工具包(SDK),嵌入到经过修改的消息应用程序和其他应用程序中,扫描用户的图像库以寻找敏感的恢复数据。这种技术首次在2023年3月被观察到。

当时,网络安全研究人员观察到,在消息应用程序中存在恶意软件功能,扫描用户的图库以寻找加密货币钱包恢复短语(通常称为助记词)并将其发送到远程服务器。

研究人员表示,最初的活动只影响了通过非官方应用源获取的Android和Windows用户。

但对于SparkCat来说,情况并非如此。这个新的活动在2024年底被发现,它使用了一个SDK框架,集成到各种在Android和iOS设备的官方和非官方应用市场上可用的应用程序中。

在一个例子中,在Google Play上发现了一个名为"ComeCome"的外卖应用程序包含了这个恶意SDK。受感染的应用程序已经被安装了超过242,000次,类似的恶意软件后来也被发现在苹果应用商店上的应用程序中。

加密货币网络安全公司Hacken的dApp审计技术负责人Stephen Ajayi告诉Decrypt,应用商店采取的预防措施通常只是自动检查,很少包括人工审查。

区块链分析公司AMLBot的CEO Slava Demchuk进一步指出,这个问题还受到代码混淆和恶意更新的加剧,这些更新在应用程序获得批准后才引入恶意软件。

他告诉Decrypt说:"在SparkCat的情况下,攻击者混淆了入口点,以隐藏他们的行为,逃避安全研究人员和执法部门的检测。这种策略帮助他们逃避检测,同时也让他们的方法对竞争对手保密。"

这种恶意软件使用谷歌的ML Kit库执行光学字符识别(OCR),扫描用户设备上存储的图像。当用户访问应用程序中的支持聊天功能时,SDK会要求他们授予读取图库的权限。

如果授予权限,应用程序会扫描图像,寻找暗示助记词存在的关键词,涉及多种语言。匹配的图像随后被加密并传输到远程服务器。

Demchuk指出,"这种攻击向量相当不寻常 - 我主要在ATM欺诈中看到过类似的策略,攻击者那里偷取了PIN码。"

他补充说,实施这种攻击需要很高的技术水平,如果这个过程变得更简单,就可能造成更多损害。

"如果有经验丰富的骗子开始出售现成的脚本,这种方法可能会迅速传播,"他说。

Ajayi同意这一观点,他认为"使用OCR扫描是一个非常聪明的技巧",但他相信还有改进的空间。"想象一下OCR和AI的结合,自动从图像或屏幕上提取敏感信息。"

对于用户的建议,Demchuk建议在授予应用程序权限之前三思而行。Ajayi也建议钱包开发者"应该找到更好的方法来处理和显示像助记词这样的敏感数据"。

由Stacy Elliott编辑。