資安公司卡巴斯基實驗室(Kaspersky Labs)週二警告,他們在 Google 和 Apple 手機應用程式商店中,發現數十款 App 暗藏可用光學字元辨識(OCR)掃描圖片,查找加密錢包助記詞,進而盜竊資金的惡意軟體。
(前情提要:Vitalik批評市場「智能錢包」:多數皆中心化控制,用戶須小心惡意風險 )
(背景補充:盜版加密軟體猖獗:小心 App Store 隱藏的危險陷阱 )
俄羅斯知名資安公司卡巴斯基實驗室(Kaspersky Labs)在 4 日的最新報告中警告,他們在 Google 和 Apple 手機應用程式的軟體開發工具包中發現了可用光學字元辨識(OCR)模型掃描圖片,使用不同語言的關鍵字來搜尋加密貨幣錢包的助記詞(恢復短語),進而盜竊其中資金的惡意軟體。
該公司將此惡意軟體命名為 SparkCat,並稱這是已知的第一起竊取軟體進入蘋果 App Store 的案例。其估計,自 2024 年 3 月左右變得活躍以來,該惡意軟體已在 Google Play 被下載約 242,000 次,主要針對歐洲和亞洲的 Android 和 iOS 用戶,但也不排除其他地區用戶受害的可能性。
Google和蘋果應用商店潛藏含惡意軟體的App:恐竊取加密錢包助記詞
卡巴斯基表示:
「我們能夠確定攻擊者的動機,即竊取短語來恢復對加密錢包的存取權限,這足以完全控制受害者的錢包以進一步竊取資金。
值得注意的是,該惡意軟體的靈活性使其不僅可以竊取恢復短語,還可以竊取圖庫中的其他個人資料,例如可能保留在螢幕截圖上的訊息內容或密碼。」
卡巴斯基的分析師對此建議用戶,切勿將包含敏感資訊的截圖儲存在手機圖庫中,而是將密碼、機密文件和其他敏改資料使用密碼管理器等特殊應用程式進行存放。他們還呼籲刪除任何可疑或受感染的應用程式。
再度打破蘋果 iOS 應用的安全神話
卡巴斯基更警告,該惡意軟體尤其危險,因為沒有任何跡象表明 App 內部存在惡意植入,它請求的權限可能用於 App 的主要功能,或者乍一看似乎無害,而且該惡意軟體的運作相當隱蔽。
此案再次打破了「Android 惡意應用程式帶來的威脅與 iOS 無關」的神話。
根據他們的調查,該惡意軟體存在於 Google 和 Apple 應用商店的數十款 App 中,既有真實的也有虛假的,但它們都具有一些共同點,例如使用「在行動 App 中很少見」的 Rust 語言、跨平台功能和混淆功能,這使得分析和檢測變得困難。
報告補充,目前仍不清楚受影響的應用程式「是否因供應鏈攻擊而受到感染,還是開發人員故意在其中嵌入木馬」。有些含惡意軟體的應用程式,例如外送服務,看起來是合法的,但其他應用程式顯然是為了引誘受害者而構建的 ,例如,有幾款具有 AI 功能的類似「通訊 app」是來自同一開發商。
分析師指出,該惡意軟體的來源尚不清楚,還無法歸咎於任何已知組織,然而,他們確實在程式碼中發現了用中文編寫的註釋和錯誤描述,這讓他們有理由相信「該惡意軟體的開發者精通中文」。
