卡斯珀斯基實驗室的研究人員發現,在蘋果應用商店和谷歌Play商店中的幾款應用程式中嵌入了惡意軟體開發工具包(SDK)/框架,旨在使用光學字元識別(OCR)外掛竊取加密貨幣錢包恢復短語。
根據卡斯珀斯基研究人員的說法,受感染的應用程式已從谷歌Play商店下載超過242,000次,但這是首次在蘋果應用商店發現。研究人員將這種惡意軟體命名為"SparkCat",並聲稱它自2024年3月起一直處於活躍狀態。
"Android惡意軟體模組解密並啟動了基於Google ML Kit庫的OCR外掛,它用於識別裝置相簿中的影象文字。使用從C2(駭客用於遠端控制裝置的命令和控制通訊通道)接收的關鍵字,特洛伊木馬將影象傳送到命令伺服器。iOS惡意軟體模組的設計也類似,同樣使用Google ML Kit庫進行OCR。"卡斯珀斯基實驗室報告稱。iOS惡意軟體也使用ML Kit介面。
如果您已安裝此類受感染的應用程式,卡斯珀斯基研究人員建議您解除安裝它,並在釋出修復惡意功能的補丁之前不要使用它。他們還建議不要在裝置相簿中儲存包含"加密貨幣錢包訪問恢復短語"等敏感資訊的螢幕截圖。
"密碼、機密檔案和其他敏感資料可以儲存在特殊應用程式中",卡斯珀斯基實驗室研究人員說。此外,建議在所有裝置上投資"可靠的安全解決方案"。
研究人員編制了一份包含在iOS框架主體中加密的BundleID列表,如下所示-
im.pop.app.iOS.Messenger
com.hkatv.ios
com.atvnewsonline.app
io.zorixchange
com.yykc.vpnjsq
com.llyy.au
com.star.har91vnlive
com.jhgj.jinhulalaab
com.qingwa.qingwa888lalaaa
com.blockchain.uttool
com.wukongwaimai.client
com.unicornsoft.unicornhttpsforios
staffs.mil.CoinPark
com.lc.btdj
com.baijia.waimai
com.ctc.jirepaidui
com.ai.gbet
app.nicegram
com.blockchain.ogiut
com.blockchain.98ut
com.dream.towncn
com.mjb.Hardwood.Test
com.galaxy666888.ios
njiujiu.vpntest
com.qqt.jykj
com.ai.sport
com.feidu.pay
app.ikun277.test
com.usdtone.usdtoneApp2
com.cgapp2.wallet0
com.bbydqb
com.yz.Byteswap.native
jiujiu.vpntest
com.wetink.chat
com.websea.exchange
com.customize.authenticator
im.token.app
com.mjb.WorldMiner.new
com.kh-super.ios.superapp
com.thedgptai.event
com.yz.Eternal.new
xyz.starohm.chat
com.crownplay.luckyaddress1
