卡斯珀斯基实验室的研究人员发现,在苹果应用商店和谷歌Play商店中的几款应用程序中嵌入了恶意软件开发工具包(SDK)/框架,旨在使用光学字符识别(OCR)插件窃取加密货币钱包恢复短语。
根据卡斯珀斯基研究人员的说法,受感染的应用程序已从谷歌Play商店下载超过242,000次,但这是首次在苹果应用商店发现。研究人员将这种恶意软件命名为"SparkCat",并声称它自2024年3月起一直处于活跃状态。
"Android恶意软件模块解密并启动了基于Google ML Kit库的OCR插件,它用于识别设备图库中的图像文本。使用从C2(黑客用于远程控制设备的命令和控制通信通道)接收的关键字,特洛伊木马将图像发送到命令服务器。iOS恶意软件模块的设计也类似,同样使用Google ML Kit库进行OCR。"卡斯珀斯基实验室报告称。iOS恶意软件也使用ML Kit接口。
如果您已安装此类受感染的应用程序,卡斯珀斯基研究人员建议您卸载它,并在发布修复恶意功能的补丁之前不要使用它。他们还建议不要在设备图库中存储包含"加密货币钱包访问恢复短语"等敏感信息的屏幕截图。
"密码、机密文件和其他敏感数据可以存储在特殊应用程序中",卡斯珀斯基实验室研究人员说。此外,建议在所有设备上投资"可靠的安全解决方案"。
研究人员编制了一份包含在iOS框架主体中加密的BundleID列表,如下所示-
im.pop.app.iOS.Messenger
com.hkatv.ios
com.atvnewsonline.app
io.zorixchange
com.yykc.vpnjsq
com.llyy.au
com.star.har91vnlive
com.jhgj.jinhulalaab
com.qingwa.qingwa888lalaaa
com.blockchain.uttool
com.wukongwaimai.client
com.unicornsoft.unicornhttpsforios
staffs.mil.CoinPark
com.lc.btdj
com.baijia.waimai
com.ctc.jirepaidui
com.ai.gbet
app.nicegram
com.blockchain.ogiut
com.blockchain.98ut
com.dream.towncn
com.mjb.Hardwood.Test
com.galaxy666888.ios
njiujiu.vpntest
com.qqt.jykj
com.ai.sport
com.feidu.pay
app.ikun277.test
com.usdtone.usdtoneApp2
com.cgapp2.wallet0
com.bbydqb
com.yz.Byteswap.native
jiujiu.vpntest
com.wetink.chat
com.websea.exchange
com.customize.authenticator
im.token.app
com.mjb.WorldMiner.new
com.kh-super.ios.superapp
com.thedgptai.event
com.yz.Eternal.new
xyz.starohm.chat
com.crownplay.luckyaddress1
