【2025-02-05 22:59:00AI Siri网最新消息】
A newly discovered malware campaign is stealing cryptocurrency from iOS by exploiting vulnerabilities in apps available on the App Store.
Kaspersky的研究人员发现了一种名为SparkCat的恶意软件开发工具包(SDK),它隐藏在多个iOS和Android应用中。SparkCat旨在使用光学字符识别(OCR)窃取加密货币钱包的恢复短语,使攻击者能够远程访问并窃取资金。
Kaspersky提供了与恶意SparkCat SDK相关的MD5哈希列表以及iOS应用的BundleIDs。然而,该公司尚未公布感染应用的完整列表,用户无法确认自己是否安装了其中的应用。
虽然一些应用,如ChatAi,已被识别出来,但许多仍未披露,这引发了用户设备上潜在恶意软件的担忧。
在Google Play上,感染的应用下载量超过242,000次,而SparkCat似乎是首个通过苹果App Store审核流程的加密货币盗窃恶意软件。它最初在一款名为ComeCome的食品配送应用中被发现,该应用在阿联酋和印度尼西亚可用。

可疑的SDK被调用。图片来源:Kaspersky
研究人员发现,这种恶意软件至少自2024年3月以来活跃,扫描用户的照片库以寻找钱包恢复短语,并秘密将其上传至攻击者控制的指挥和控制(C2)服务器。
与过去主要通过非官方来源传播的恶意软件不同,SparkCat成功渗透到合法的应用商店中,构成了更严重的威胁。它还使用一种用Rust编写的自定义协议与攻击者进行通信,而Rust是一种在移动应用中不常见的编程语言。
一些感染应用看起来很合法,如食品配送和人工智能驱动的消息应用,而其他应用可能是为了诱骗用户而创建的。
尽管苹果和谷歌已删除大多数受影响的应用,但安全研究人员警告称,一些应用可能仍可以通过侧载或第三方来源获取。任何下载了这些应用的人应立即将其删除,并检查自己的加密钱包以寻求任何未经授权的访问迹象。
如何保护你的加密资产
像SparkCat一样,一些恶意软件也使用OCR从图像中提取文本。将恢复短语存储为截图或照片,容易成为攻击者使用的自动扫描工具的目标。
定期检查安装的应用,并删除任何看起来不熟悉或不必要的应用。使用信誉良好的移动安全应用可以帮助在问题出现之前捕获潜在威胁。

在OCR图像处理结果中搜索关键词。图片来源:Kaspersky
如果你认为你的钱包可能已被攻击,应该在确保你的设备干净后,将资金转移到新的钱包中,并使用新的恢复短语。
这意味着删除任何可疑的应用,尤其是那些在安全报告中被标记的应用。同时,重置应用权限并清除缓存数据也是明智的选择,以消除任何潜在威胁。
在从备份恢复之前,确保备份中不包含任何感染的应用,因为重新引入恶意软件是一种常见风险。重置后,仅从可信来源重新安装必要的应用,以最小化风险。