高階木馬能繞過蘋果與 Google 的安全認證,從流動裝置相片收集加密錢包種子詞,這標誌著流動端針對加密貨幣攻擊的大幅升級。crypto-targeting attacks。
卡巴斯基的網絡安全研究人員揭示了一場新型高技術流動惡意程式攻擊,命名為「SparkKitty」,此攻擊已成功滲透蘋果 App Store 及 Google Play Store,影響中國及東南亞超過 5,000 名加密貨幣用戶。
此惡意程式主要竊取儲存在手機相冊裡的錢包種子詞螢幕截圖,反映針對加密貨幣的新型攻擊模式,直接利用流動安全的根本漏洞。
根據卡巴斯基本週發佈的最新安全報告,SparkKitty 最早於 2024 年初已經活躍。與傳統惡意程式發佈方式不同,SparkKitty 透過偽裝成正規應用滲透兩大平台,包括加密貨幣報價工具、博彩應用和經過修改的熱門社交媒體(如 TikTok)版本,成功率極高。
其中一個被感染的通訊應用 SOEX 曾在發現前已錄得超過 10,000 次下載,反映 SparkKitty 有能力長期於官方應用生態內潛伏而不被察覺,這亦暴露蘋果和 Google 防護存在漏洞。
進階資料收集手法
SparkKitty 技術較前身 SparkCat 有明顯升級,SparkCat 於 2025 年 1 月首次被識別。傳統惡意程式多針對敏感數據,SparkKitty 則無差別地盜取受感染手機內所有相片,再上傳至遠端伺服器,建立龐大用戶相片資料庫供進一步分析。
此惡意程式透過複雜的多階段流程運作。用戶在安裝疑似合法的應用時,SparkKitty 會要求正常的相片庫存取權限,多數用戶不以為意。一旦授權存取,木馬會持續監控手機相簿的變動,並建立本地相片資料庫,然後將其傳送至攻擊者伺服器。
卡巴斯基研究人員指出,攻擊者最主要目標是從受感染手機的螢幕截圖中尋找並提取加密錢包種子詞。由 12 至 24 個英文字組成的恢復詞,可賦予黑客完全控制受害者資產,極具犯罪價值。
SparkKitty 的出現正值加密貨幣網絡犯罪愈趨嚴重之際。根據 TRM Labs 2024 分析,價值 22 億美元的加密貨幣被盜事件中,近七成與基礎設施攻擊(尤其是私鑰和種子詞盜取)有關。僅於 2025 年 1 月,已有 9,220 名受害者在釣魚騙案中損失合共 1,025 萬美元,反映該類針對性威脅普遍且不斷演化。
目前該惡意程式以中國和東南亞為重災區,反映當地加密貨幣普及迅速,也成為網絡犯罪目標。不過保安專家警告,SparkKitty 的技術和成效均已證明具有全球擴散潛力。其能滲入應用商店更暗示沒有流動生態圈能完全免疫於此類高端攻擊。
技術進化及溯源
法證分析顯示 SparkKitty 與早期 SparkCat 行動有顯著關聯。兩款木馬不僅共用除錯符號和代碼結構,相同的入侵載體亦有重疊,支持兩者屬同一威脅集團協同開發。技術層面,SparkKitty 在資料收集與避偵能力則明顯提升。
SparkCat 曾利用光學識別技術,從圖像中精準抽取錢包的恢復詞,而 SparkKitty 則更進一步,先全盤盜取影像,待離線後再統一分析。這反映攻擊者優化其作業,以最大化資料收集同時減少裝置上運算量,降低觸發警報機會。
SparkKitty 行動突顯流動加密資產安全上的根本漏洞。許多用戶為圖方便,會把種子詞以螢幕截圖保存,結果令這些相片成為針對性惡意程式的主要攻擊點。儘管從用戶體驗層面可理解,實際卻暴露重大保安風險,為黑客提供可乘之機。
保安研究者強調,有關威脅不只針對個別用戶,更波及整個加密行業。平均每日有 560,000 個新惡意程式被發現,而隨著加密貨幣流行,手機平台愈來愈多成為攻擊焦點。
SparkKitty 成功潛入官方應用商店亦令人質疑現有流動保安體系的效能。蘋果與 Google 均聲稱擁有先進審查,防止惡意程式上架,但此次事件說明,有心攻擊者依然可繞過相關機制。
行業回應及防禦建議
卡巴斯基披露事件後,蘋果及 Google 均即時展開受影響應用的下架行動。然而,威脅具有動態及持續演變特性,安全人員和應用商店均需保持警覺,防範惡意程式變種再度入侵。
加密貨幣保安專家現正建議手機錢包用戶採取即時防護措施。首要建議包括:切勿以數碼形式保存種子詞、大額資產盡量使用硬件錢包、嚴格檢查應用存取權限。同時,建議所有用戶查核手機相冊是否存有錢包資料截圖,並即時刪除。
事件亦引發業界再度討論流動加密錢包的保安標準。業內領袖呼籲加強所有涉金融類應用的保安規定,如強制第三方安全審核與應用敏感權限的嚴格管控。
雖然 SparkKitty 現時主要針對亞洲地區,但資安專家警告其全球蔓延只屬時間問題。此木馬的滲透能力及全球加密貨幣普及,令歐美等地日後極可能成為下個目標。到 2025 年,網路犯罪(包括惡意程式攻擊)每年或令全球經濟損失高達 10.5 兆美元,而針對加密貨幣的惡意程式勢必佔據更大部分。
SparkKitty 成功滲入應用商店,亦顯示類似行動或已在其他地區醞釀。保安研究者呼籲加強國際間合作,提升應用商店與資安組織的資料交流,共同防禦流動端加密惡意程式。
前瞻威脅評估
SparkKitty 行動標誌著手機加密保安威脅有明顯升級,結合高明技術與已證實分發渠道。隨加密貨幣全球滲透,相關威脅頻率與複雜度料將持續上升。
保安專家預計未來針對加密貨幣的惡意程式會持續進化,包括更複雜的避偵機制、繞過應用商店審查與更高端的資料外傳技術。SparkKitty 此類以相片抽取方式成功得手,勢必啟示其他惡意程式家族仿傚,令手機加密用戶處於不斷升溫的威脅環境。
事件提醒我們加密資產持有人,務必建立完善的手機保安措施。隨著加密貨幣價值和普及持續攀升,行動裝置將更成為黑客主要攻擊目標。
用戶必須相應調整保安守則,優先選用硬件錢包並戒除任何種子詞數碼存儲,防止資產因手機惡意程式而蒙受損失。