loading...
卡巴斯基安全研究人员发现,一种代号为SparkKitty的新型移动恶意软件正通过受感染应用程序针对加密货币用户实施攻击。该威胁活动于2025年1月被披露,其核心目标是窃取包含加密货币种子短语的屏幕截图,并通过光学字符识别(OCR)技术精准提取敏感信息。
与此前针对钱包种子短语的SparkCat行动类似,SparkKitty不仅在非官方渠道传播,更成功潜入Google Play和App Store等正规应用分发平台。目前,相关受感染应用已在研究人员通报后被下架。该恶意软件覆盖iOS与Android两大主流操作系统,采用差异化传播策略,具备跨平台攻击能力。
在iOS端,恶意软件伪装成合法开发库(如AFNetworking.framework或Alamofire.framework),或混淆后的系统框架(如libswiftDarwin.dylib),并可直接嵌入正常应用中。部分版本会在启动时请求照片库权限,而正版应用并无此行为,构成明显异常。
在Android系统中,恶意代码以Java和Kotlin编写,其中部分变种作为恶意Xposed模块运行。多数版本无差别抓取设备所有图像,但高级版本则结合Google ML Kit OCR技术,仅选择性上传含文本内容的截图,显著提升窃密效率。
卡巴斯基分析师最初在追踪修改版TikTok安卓应用的可疑链接时发现该活动。这些篡改版本在用户启动主程序时执行额外恶意代码。受感染应用内设有配置文件URL按钮,点击后将打开名为“TikToki Mall”的网页购物门户,该平台支持加密货币支付购买商品。
由于注册需邀请码,研究团队无法确认该平台是否仍在运营或具备合法性。在iOS端,攻击者滥用Apple Developer Program的企业配置文件,绕过App Store审核机制,将恶意应用伪装为官方企业级分发应用,此类手法常用于传播非法赌场与破解工具。
受感染的TikTok iOS应用集成在伪装的AFNetworking.framework中,并篡改AFImageDownloader类组件,实现对屏幕截图的隐蔽采集。
SparkKitty的Android版本通常伪装成加密货币主题应用,恶意代码部署于应用入口点。其通信流程包括:下载加密配置文件,使用AES-256(ECB模式)解密后获取命令与控制服务器地址。
图像窃取过程分为两阶段:第一阶段进行设备指纹识别,生成基于IMEI、MAC地址和随机UUID的MD5哈希值,并保存至外置存储;第二阶段根据指纹判断是否上传特定图像。
部分受感染应用借助LSPosed框架作为恶意Xposed模块挂载,甚至一款伪装成即时通讯工具且内置加密货币交易功能的应用,在Google Play上下载量超1万次,后经通知被移除。
此外,渐进式Web应用(PWA)也被用于传播诈骗平台,这些页面在社交媒体推广庞氏骗局,诱导用户下载APK文件。下载后,应用注册内容下载处理程序,并通过Google ML Kit OCR技术分析JPEG与PNG图像,识别出包含密码、私钥或助记词的屏幕截图。
此次事件凸显当前加密货币用户面临的严峻安全挑战。尽管官方应用商店具备审核机制,但企业证书滥用与供应链污染仍为攻击者提供可乘之机。专家提醒用户应避免安装来源不明的应用,定期检查权限设置,并优先使用硬件钱包存储关键资产。
197
148
459
168
176
189
