卡巴斯基實驗室發現一起針對加密貨幣用戶的高階惡意軟體行動——攻擊者將惡意軟體開發套件 (SDK) 植入於 Google Play 與 Apple App Store 上的行動應用程式。這款被命名為「SparkCat」的惡意程式,透過光學字元辨識掃描使用者照片,尋找加密貨幣錢包的助記詞,黑客隨後利用這些助記詞取得錢包並竊走資產。
在 2025 年 2 月 4 日發布的完整報告中,卡巴斯基研究員 Sergey Puzan 與 Dmitry Kalinin 詳述了 SparkCat 惡意軟體的入侵過程,以及如何透過多語言關鍵字辨識搜尋相片中的錢包助記詞。一旦助記詞被竊取,攻擊者即可全面控制受害者的加密錢包資產,研究人員指出,攻擊者掌控權完全無限制。
此外,該惡意軟體還能竊取其他敏感資料,包括密碼及螢幕截圖中的私人訊息。尤其在 Android 裝置上,SparkCat 偽裝成一個名為 Spark、基於 Java 的分析模組,它會從 GitLab 上的加密組態檔獲取最新指令,並串接 Google ML Kit OCR 來擷取受感染裝置照片中的文字。若偵測到助記詞,惡意軟體會將資訊回傳給攻擊者,使他們可將受害人的加密錢包匯入自己的裝置。
卡巴斯基評估,自 2023 年 3 月該惡意軟體出現以來,SparkCat 已被下載約 24.2 萬次,主要受害者集中於歐洲及亞洲地區。
另據 2024 年中期的相關報告,卡巴斯基也持續追蹤其他 Android 惡意軟體行動,像是偽裝 APK「Tria Stealer」,會攔截簡訊及通話記錄,也能竊取 Gmail 資料。
這些惡意軟體廣泛散布於多款應用程式中,部分看似正當,如外送服務,另一些則刻意吸引毫無戒心的用戶,例如具備 AI 功能的通訊軟體。感染應用程式普遍具備 Rust 編程語言、跨平台支援,以及複雜混淆手法以逃避偵測。
SparkCat 的來源至今不明,研究人員未將其歸類於任何已知駭客組織,但程式碼中出現的中文註解與錯誤訊息,顯示開發者精通中文。雖然該行動與 ESET 於 2023 年 3 月揭露的攻擊活動有相似處,真實源頭仍未查明。
卡巴斯基強烈建議,用戶避免將加密錢包助記詞等敏感資料儲存於相簿,改用密碼管理器,並定期掃描移除可疑應用程式。
相關發現最初於 99Bitcoins 報導,文章為「Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases: Kaspersky」。