摘要：卡巴斯基威胁研究专业中心发现了一种新的数据窃取木马SparkCat，该木马至少自 2024 年 3 月以来一直活跃于 AppStore 和 Google Play。据说这是 AppStore 中出现的基于光学识别的恶意软件的“第一个已知实例”。

卡巴斯基威胁研究专业中心发现了一种新的数据窃取木马SparkCat，该木马至少自 2024 年 3 月以来一直活跃于 AppStore 和 Google Play。据说这是 AppStore 中出现的基于光学识别的恶意软件的“第一个已知实例”。

SparkCat 使用机器学习“扫描图库并窃取包含加密货币钱包恢复短语的屏幕截图”。据说该恶意软件还能在图像中查找并提取其他“敏感数据”。

卡巴斯基称，“SparkCat”恶意软件是在去年年底被发现秘密嵌入在一款名为“ComeCome-Chinese Food Delivery”的 iOS 应用程序中的。

SparkCat 的工作原理是秘密部署一个字符识别工具，使其能够从存储的图像中读取文本并寻找选定的关键词。如果找到所需的单词，恶意软件就会将图像发送到黑客控制的服务器。

卡巴斯基总结道：“所有搜索词都表明，攻击者是出于经济动机，特别是针对可用于重新获得加密货币钱包访问权限的恢复短语（也称为‘助记词’）。”

卡巴斯基发现，该恶意软件会搜索包括中文、日语、韩语、英语、捷克语、法语、意大利语、波兰语和葡萄牙语在内的多种语言的关键词。这表明该攻击是针对欧洲和亚洲用户。

卡巴斯基表示：“该恶意软件非常灵活，不仅可以窃取这些短语，还可以窃取图库中的其他敏感数据，例如可能在屏幕截图中捕获的消息或密码。”

卡巴斯基恶意软件分析师Sergey Puzan表示：

“这是已知的第一起基于 OCR 的木马潜入 AppStore 的案例。就 AppStore 和 Google Play 而言，目前尚不清楚这些商店中的应用程序是通过供应链攻击还是通过其他各种方法受到攻击。有些应用程序（如送餐服务）看起来是合法的，而其他应用程序显然是作为诱饵设计的。”

卡巴斯基恶意软件分析师Dmitry Kalinin表示：

“SparkCat 活动具有一些独特的功能，使其变得危险。首先，它通过官方应用商店传播，并且在没有明显感染迹象的情况下运行。这种木马的隐蔽性使得商店管理员和移动用户都很难发现它。此外，它请求的权限似乎很合理，因此很容易被忽视。从用户的角度来看，访问恶意软件试图访问的图库似乎对于应用程序正常运行至关重要。通常在相关情况下请求此权限，例如当用户联系客户支持时。”

该恶意代码还被发现存在于其他一些 iOS 应用程序中，例如“AnyGPT”和“WeTink”。这一发现促使苹果从其官方商店中删除了总共 11 款 iOS 应用程序。

苹果表示，这 11 款应用与其他 89 款 iOS 应用共享计算机代码，这些应用也已被删除或拒绝。此外，这些应用背后的开发者账户已被终止。

新闻链接：

来源：会杀毒的单反狗