据卡巴斯基的一项报告,首次在可疑的应用商店应用中发现了包含读取屏幕截图内容代码的恶意软件。这款恶意软件被称为“SparkCat”,具备光学字符识别(OCR)功能,可以提取iPhone用户截图中的敏感信息。
这些应用旨在查找加密钱包的恢复短语,从而使攻击者能够窃取比特币和其他加密货币。
这些应用包含一个恶意模块,利用 Google 的 ML Kit 库创建的 OCR 插件来识别 iPhone 中图像中的文本。当找到相关的加密钱包图片时,该图片将被发送到攻击者能访问的服务器。
根据卡巴斯基的说法,SparkCat 自2024年3月左右就开始活跃。2023年发现的类似恶意软件主要针对安卓和PC设备,但现在已经扩展到iOS。卡巴斯基找到了一些包含OCR间谍软件的App Store应用,包括ComeCome、WeTink和AnyGPT,但尚不清楚这些感染是开发者的“故意行为”还是“供应链攻击的结果”。
感染了恶意软件的应用在下载后会请求用户访问其照片的权限,如果用户同意,这些应用就会利用OCR功能扫描图像以查找相关文本。目前仍有几款应用在App Store中,并且似乎主要针对位于欧洲和亚洲的iOS用户。
尽管这些应用主要目标是窃取加密信息,但卡巴斯基指出,这款恶意软件具有足够的灵活性,可以用于访问其他类型的截图数据,例如密码。安卓平台的应用也受到了影响,包括来自Google Play商店的应用,但iOS用户通常期望他们的设备具备抗恶意软件的能力。
苹果公司对App Store中的每个应用进行检查,恶意应用的出现标志着苹果应用审核流程的失败。在这种情况下,似乎没有明显的迹象表明该应用是特洛伊木马,而它请求的权限似乎也是核心功能所必需的。
卡巴斯基建议用户应避免将包含敏感信息(例如加密钱包恢复短语)的截图存储在相册中,以避免这类攻击的风险。
