卡巴斯基實驗室發現一場針對加密貨幣用戶的大型惡意軟件攻擊,這些惡意SDK預載於Google Play及Apple App Store上的流動應用程式。該惡意軟件名為「SparkCat」,通過光學字符識別技術(OCR),掃描用戶相片中的加密貨幣錢包恢復字串,黑客可藉此取得錢包存取權及資金。
根據卡巴斯基研究員Puzan及Kalinin於2025年2月4日發表的詳細報告,SparkCat惡意軟件會入侵裝置,並通過多語言關鍵字識別搜查圖片內的恢復短語。一旦取得相關字串,攻擊者即獲全面存取權,可以完全控制受害者的加密貨幣錢包。
此外,該惡意軟件亦會竊取更多敏感資料,包括螢幕截圖中的密碼及私人訊息。在Android裝置上,SparkCat會佯裝成名為Spark的Java分析模組。此惡意軟件還會從GitLab上的加密組態文件接收運作更新,並利用Google的ML Kit OCR從感染裝置的圖片中提取文字。若偵測到恢復短語,惡意軟件會將資料傳送回攻擊者,以便他們把受害者錢包匯入自己裝置。
卡巴斯基推算,SparkCat自2023年3月現身以來,下載量約為24.2萬次,主要影響歐洲及亞洲的用戶。
另據2024年中一份相關報告,卡巴斯基亦一直監控另一Android惡意軟件活動,涉及Tria Stealer等偽造APKs,能攔截SMS及通話記錄,並竊取Gmail資料。
此類惡意軟件普遍出現在多款應用,部分為表面正規的送餐平台,亦有AI聊天應用等吸引用戶。這些受感染應用常見特點包括採用Rust編程語言、跨平台功能,以及高級混淆技術逃避檢測。
SparkCat的來源仍未明確,研究人員未將其歸咎任何已知黑客組織,但發現程式碼內含中文註釋及錯誤訊息,顯示開發者通曉中文。雖然與ESET於2023年3月揭發的某黑客活動相似,實際來源仍未被確認。
卡巴斯基強烈建議用戶切勿將如加密貨幣錢包恢復字串等敏感資料儲存在相簿,建議改用密碼管理器及定期掃描、刪除可疑應用。
相關發現原於99Bitcoins報道,標題為「Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases: Kaspersky」。