卡巴斯基在App Store和Google Play發現新竊取加密貨幣的木馬程式 智慧應用 影音
researchmember
i Forum

卡巴斯基在App Store和Google Play發現新竊取加密貨幣的木馬程式

  • 吳冠儀台北

卡巴斯基威脅研究專業中心現了一種新型資料竊取木馬程式SparkCat,自2024年3月起活躍於AppStore和Google Play。這是首次在AppStore中發現基於光學識別的惡意軟體實例。SparkCat利用機器學習技術掃描圖庫,竊取包含加密貨幣錢包恢復詞組的截圖。它還能發現並提取圖像中的其他敏感性資料,如密碼。

該惡意軟體通過受感染的合法應用程式和誘餌進行傳播,包括通訊軟體、人工智慧助手、食品配送、與加密貨幣相關的應用程式等。其中一些應用程式可在Google Play和App Store的官方平台上獲得。

卡巴斯基遙測資料還顯示,受感染的版本正在通過其他非官方管道分發。在Google Play上,這些應用程式已被下載超過242,000次。

該惡意軟體主要針對阿聯以及歐洲和亞洲國家的用戶。這是專家們根據受感染應用程式的運行區域資訊和惡意軟體的技術分析得出的結論。SparkCat會掃描圖片庫中多種語言的關鍵字,包括中文、日語、韓語、英語、捷克語、法語、義大利語、波蘭語和葡萄牙語。但是,專家認為受害者也可能來自其他國家。

SparkCat的工作原理。安裝後,在某些情況下,這種新的惡意軟體會請求瀏覽使用者智慧型手機圖庫中的照片。然後,它使用光學字元辨識(OCR)模組分析儲存圖像中的文字。如果惡意軟體檢測到相關關鍵字,它會將圖像發送給攻擊者。

駭客的主要目標是找到加密貨幣錢包的恢復詞組。有了這些資訊,他們就可以完全控制受害者的錢包並竊取資金。除了竊取恢復詞組外,該惡意軟體還能從螢幕截圖中提取其他個人資訊,例如消息和密碼。

卡巴斯基惡意軟體分析師Sergey Puzan表示,這是個潛入到AppStore的基於光學字元辨識(OCR)的木馬程式,就App Store和Google Play而言,目前尚不清楚這些商店中的應用程式是通過供應鏈攻擊還是其他各種方法入侵的。一些應用程式,例如食品派送服務應用程式,看起來是合法的,而另一些則明顯是誘餌。

卡巴斯基惡意軟體分析師Dmitry Kalinin補充,SparkCat攻擊活動有一些獨特的特性,因此非常危險。首先,它通過官方應用程式商店進行傳播,並且沒有明顯的感染跡象。這種木馬的隱蔽性使得商店管理員和手機用戶都很難發現它。

此外,它要求的許可權看似合理,很容易被忽視。惡意軟體試圖瀏覽圖庫的許可權,從用戶的角度來看,似乎對於應用程式的正常運行至關重要。這種許可權通常在相關的上下文中被請求,例如當使用者聯繫客戶支援時。

卡巴斯基專家分析了該惡意軟體的Android版本,發現代碼中包含用中文寫的注釋。此外,iOS版本中包含開發者主目錄名稱「qiongwu」和「quiwengjing」,這表明該惡意軟體活動背後的威脅行為者精通中文。但是,目前沒有足夠的證據將這次攻擊行動溯源到已知的網路犯罪組織。

網路犯罪分子越來越關注在其惡意工具中使用神經網路。在SparkCat案例中,其Android模組使用Google ML Kit庫解密並執行一個OCR外掛程式,以識別存儲圖像中的文本。其 iOS惡意模組也使用了類似的方法。

為了避免成為此類惡意軟體的受害者,卡巴斯基建議採取以下安全措施:如果安裝其中一個受感染的應用程式,請將其從設備中刪除,並在發布更新以消除惡意功能之前,請勿使用該應用程式。

避免將包含敏感資訊的螢幕截圖(包括加密貨幣錢包的恢復詞組)存儲在圖庫中。例如,密碼可以存儲在專門的應用程式中,如卡巴斯基密碼管理器,並可使用可靠的網路安全軟體,例如卡巴斯基高級版,可以防止惡意軟體感染。