Sophisticated trojan bypasses Apple and Google security to harvest cryptocurrency seed phrases from mobile device photos, marking significant escalation in mobile crypto-targeting attacks.
卡巴斯基的网络安全研究人员发现了一项名为"SparkKitty"的新型复杂移动恶意软件活动,成功渗透了苹果的App Store和Google Play Store,危害了中国和东南亚5000多名加密货币用户。
恶意软件主要窃取存储在手机图库中的钱包助记词截图,代表着加密攻击在利用基本移动安全漏洞方面的重大进化。
根据卡巴斯基本周发布的最新安全报告,自2024年初以来,该恶意软件一直处于活跃状态。与传统恶意软件分发方法不同,SparkKitty通过嵌入合法应用程序中,在主要移动平台上取得了显著成功,包括加密货币价格跟踪工具、赌博应用程序和一些流行社交媒体应用如TikTok的修改版本。
这一活动最令人担忧的方面是成功绕过了苹果严格的App Store审核流程和谷歌的Play Protect安全系统。一款受感染的即时通讯应用程序SOEX在被检测和移除之前已获得超过10,000次下载,显示出该恶意软件在官方应用生态系统中能够长期不被发现地运行的能力。
高级数据收集方法
相比其前身SparkCat,SparkKitty在技术上取得了重大进步。不同于有选择地攻击敏感数据的传统恶意软件,SparkKitty不分青红皂白地窃取所有受感染设备上的图像,创建用户照片的全面数据库,随后上传到远程服务器进行分析。
安装后,通过欺骗性配置简介请求标准照片库访问权限,用户看似平常地授予了许可权限。一旦获得访问权限,木马持续监控设备的图片库的变化,在本地创建捕获图像的数据库,然后将它们传输到攻击者控制的服务器。
卡巴斯基研究人员强调,攻击者的主要目标似乎是识别和提取存储在受感染设备上的截图中的加密货币钱包助记词。这些12-24个字的恢复词组提供了对用户数字资产的完全访问权限,成为网络犯罪分子极具价值的攻击目标。
SparkKitty的出现发生在加密货币网络犯罪日益严重的背景下。据TRM Labs 2024年的分析显示,约70%的22亿美元被盗加密货币来自基础设施攻击,尤其是涉及私钥和助记词盗窃的攻击。2025年1月,仅诈骗活动就导致9,220名受害者损失1025万美元,突显加密攻击威胁的持续性和演变性。
当前恶意软件在中国和东南亚的地理集中反映了更广泛的加密货币采用趋势及网络犯罪目标。然而,安全专家警告,SparkKitty的技术能力及已验证的有效性使得全球扩展具有高度可能性。其能够渗透官方应用商店的能力表明,没有任何移动生态系统能对复杂的加密攻击免疫。
技术进化与溯源
法庭分析揭示了SparkKitty与早期SparkCat恶意软件活动之间的重大联系。两个木马共享调试符号、代码构建模式和多个受损向量应用程序,表明同一威胁行为者的协调开发。然而,SparkKitty展示了显著的技术改进,包括增强的数据收集能力和改进的规避技术。
SparkCat特别针对加密货币钱包恢复词组,采用光学字符识别技术从图像中提取这些词组,而SparkKitty采用更广泛的方法,收集所有可用图像数据以供日后处理。这一演变表明,攻击者正在优化其操作以实现最大的数据收集效率,同时减少可能触发安全警报的设备端处理。
SparkKitty活动暴露了移动加密货币安全实践的基本漏洞。许多用户出于方便的考虑,常常截屏他们的助记词,创建了数字副本,成为像SparkKitty这样的恶意软件的首要目标。这一实践可以从用户体验的角度理解,但却创造了严重的安全漏洞,复杂的攻击者正越来越多地利用这些漏洞。
安全研究人员强调,威胁不仅限于个别用户,还波及更广泛的加密货币生态系统。每天有560,000新种恶意软件被检测出,随着全球加密货币采用的加速,移动平台正成为越来越有吸引力的目标。
恶意软件在绕过应用商店安全措施方面的成功也引发了对当前移动安全框架有效性的质疑。苹果和谷歌都实施了复杂的审查流程,旨在防止恶意应用到达用户手中,然而SparkKitty成功的渗透表明,决心坚定的攻击者仍然可以规避这些保护措施。
行业回应和防御措施
在卡巴斯基披露后,苹果和谷歌都已启动对已发现的SparkKitty感染应用的移除程序。然而,威胁的动态性质意味着可能会有新的变种继续出现,要求安全研究人员和应用商店运营商保持持续的警惕。
加密货币安全专家建议移动钱包用户立即采取防御措施。主要建议包括完全避免数字存储助记词、对重要资产使用硬件钱包和实施严格的应用权限审计。用户被建议审查现有的图片库是否存储了钱包凭证,并立即删除此类图像。
这一事件同样推动了对移动加密货币安全标准的重新讨论。行业领导者呼吁加强对与加密相关移动应用的安全要求,包括强制性安全审计和处理敏感金融数据的应用的更严格的权限模型。
尽管SparkKitty目前集中于亚洲市场,网络安全专家警告全球扩展看似不可避免。其已验证的有效性及移动加密货币使用的普遍性表明,西方市场可能很快会面临类似威胁。到2025年,网络犯罪——包括恶意软件驱动的攻击——可能每年给全球经济造成10.5万亿美元的损失,其中加密货币针对的恶意软件占这个威胁格局的重要组成部分。
SparkKitty的应用商店渗透能力的复杂性质表明,类似的活动可能已经在其他地区展开。安全研究人员呼吁加强国际合作以打击移动加密货币恶意软件,包括改进应用商店运营商和网络安全组织之间的信息共享。
未来威胁评估
SparkKitty活动代表了移动加密货币威胁的重大升级,结合了复杂的技术能力和验证的分发机制。随着加密货币的全球采用继续扩大,相似威胁可能在频率和复杂性上都会增加。
安全专家预测,未来的加密目标恶意软件可能会结合额外的规避技术,包括增强的应用商店绕过方法和更复杂的数据外传能力。SparkKitty的图片采集方法的成功可能会激励其他恶意软件家族采用类似方法,给移动加密货币用户创造一个不断升级的威胁环境。
这一事件强调加密货币持有者对强大的移动安全实践的极端重要性。随着数字资产价值的不断攀升和采用的扩大,移动设备成为复杂网络犯罪组织日益有吸引力的目标。
用户必须相应地调整其安全实践,优先使用硬件钱包,并消除数字助记词存储,以保护其加密货币资产免受不断发展的移动恶意软件威胁。