Kaspersky研究人員詳細介紹了一個跨平臺的惡意軟體活動,該活動透過惡意的移動應用程式瞄準加密貨幣錢包恢復短語。

根據最近的一份報告,這個名為"SparkCat"的活動使用了一個惡意的軟體開發工具包(SDK),嵌入到經過修改的訊息應用程式和其他應用程式中,掃描使用者的影象庫以尋找敏感的恢復資料。這種技術首次在2023年3月被觀察到。

當時,網路安全研究人員觀察到,在訊息應用程式中存在惡意軟體功能,掃描使用者的相簿以尋找加密貨幣錢包恢復短語(通常稱為助記詞)並將其傳送到遠端伺服器。

研究人員表示,最初的活動隻影響了透過非官方應用源獲取的Android和Windows使用者。

但對於SparkCat來說,情況並非如此。這個新的活動在2024年底被發現,它使用了一個SDK框架,整合到各種在Android和iOS裝置的官方和非官方應用市場上可用的應用程式中。

在一個例子中,在Google Play上發現了一個名為"ComeCome"的外賣應用程式包含了這個惡意SDK。受感染的應用程式已經被安裝了超過242,000次,類似的惡意軟體後來也被發現在蘋果應用商店上的應用程式中。

加密貨幣網路安全公司Hacken的dApp審計技術負責人Stephen Ajayi告訴Decrypt,應用商店採取的預防措施通常只是自動檢查,很少包括人工審查。

區塊鏈分析公司AMLBot的CEO Slava Demchuk進一步指出,這個問題還受到程式碼混淆和惡意更新的加劇,這些更新在應用程式獲得批准後才引入惡意軟體。

他告訴Decrypt說:"在SparkCat的情況下,攻擊者混淆了入口點,以隱藏他們的行為,逃避安全研究人員和執法部門的檢測。這種策略幫助他們逃避檢測,同時也讓他們的方法對競爭對手保密。"

這種惡意軟體使用谷歌的ML Kit庫執行光學字元識別(OCR),掃描使用者裝置上儲存的影象。當用戶訪問應用程式中的支援聊天功能時,SDK會要求他們授予讀取相簿的許可權。

如果授予許可權,應用程式會掃描影象,尋找暗示助記詞存在的關鍵詞,涉及多種語言。匹配的影象隨後被加密並傳輸到遠端伺服器。

Demchuk指出,"這種攻擊向量相當不尋常 - 我主要在ATM欺詐中看到過類似的策略,攻擊者那裡偷取了PIN碼。"

他補充說,實施這種攻擊需要很高的技術水平,如果這個過程變得更簡單,就可能造成更多損害。

"如果有經驗豐富的騙子開始出售現成的指令碼,這種方法可能會迅速傳播,"他說。

Ajayi同意這一觀點,他認為"使用OCR掃描是一個非常聰明的技巧",但他相信還有改進的空間。"想象一下OCR和AI的結合,自動從影象或螢幕上提取敏感資訊。"

對於使用者的建議,Demchuk建議在授予應用程式許可權之前三思而行。Ajayi也建議錢包開發者"應該找到更好的方法來處理和顯示像助記詞這樣的敏感資料"。

由Stacy Elliott編輯。