文/卡巴斯基
卡巴斯基威脅研究專業中心現了一種新型資料竊取木馬程式SparkCat,自2024年3月起活躍於AppStore和Google Play。這是首次在AppStore中發現基於光學識別的惡意軟體實例。SparkCat利用機器學習技術掃描圖庫,竊取包含加密貨幣錢包恢復詞組的截圖。它還能發現並提取圖像中的其他敏感性資料,如密碼。卡巴斯基已向Google和蘋果公司報告了已知的惡意應用程式。
新型惡意軟體如何傳播
該惡意軟體通過受感染的合法應用程式和誘餌進行傳播——包括通訊軟體、人工智慧助手、食品配送、與加密貨幣相關的應用程式等等。其中一些應用程式可在Google Play和App Store的官方平臺上獲得。卡巴斯基遙測資料還顯示,受感染的版本正在通過其他非官方管道分發。在Google Play上,這些應用程式已被下載超過242,000次。
誰是被攻擊目標
該惡意軟體主要針對阿聯酋以及歐洲和亞洲國家的用戶。這是專家們根據受感染應用程式的運行區域資訊和惡意軟體的技術分析得出的結論。SparkCat會掃描圖片庫中多種語言的關鍵字,包括中文、日語、韓語、英語、捷克語、法語、義大利語、波蘭語和葡萄牙語。但是,專家認為受害者也可能來自其他國家。
SparkCat的工作原理
安裝後,在某些情況下,這種新的惡意軟體會請求訪問使用者智慧手機圖庫中的照片。然後,它使用光學字元辨識 (OCR) 模組分析儲存圖像中的文字。如果惡意軟體檢測到相關關鍵字,它會將圖像發送給攻擊者。駭客的主要目標是找到加密貨幣錢包的恢復詞組。有了這些資訊,他們就可以完全控制受害者的錢包並竊取資金。除了竊取恢復詞組外,該惡意軟體還能從螢幕截圖中提取其他個人資訊,例如消息和密碼。
“這是首個已知的潛入到AppStore的基於光學字元辨識(OCR)的木馬程式,”卡巴斯基惡意軟體分析師Sergey Puzan說:“就App Store和Google Play而言,目前尚不清楚這些商店中的應用程式是通過供應鏈攻擊還是其他各種方法入侵的。一些應用程式,例如食品派送服務應用程式,看起來是合法的,而另一些則明顯是誘餌。”
“SparkCat攻擊活動有一些獨特的特性,因此非常危險。首先,它通過官方應用程式商店進行傳播,並且沒有明顯的感染跡象。這種木馬的隱蔽性使得商店管理員和手機用戶都很難發現它。此外,它要求的許可權看似合理,很容易被忽視。惡意軟體試圖訪問圖庫的許可權,從用戶的角度來看,似乎對於應用程式的正常運行至關重要。這種許可權通常在相關的上下文中被請求,例如當使用者聯繫客戶支援時” 卡巴斯基惡意軟體分析師Dmitry Kalinin補充說。
卡巴斯基專家分析了該惡意軟體的安卓版本,發現代碼中包含用中文寫的注釋。此外,iOS 版本中包含開發者主目錄名稱“qiongwu”和“quiwengjing”,這表明該惡意軟體活動背後的威脅行為者精通中文。但是,目前沒有足夠的證據將這次攻擊行動溯源到已知的網路犯罪組織。
機器學習增強的攻擊
網路犯罪分子越來越關注在其惡意工具中使用神經網路。在 SparkCat 案例中,其安卓模組使用 Google ML Kit 庫解密並執行一個 OCR 外掛程式,以識別存儲圖像中的文本。其 iOS 惡意模組也使用了類似的方法。
-350x250.jpg)
