SparkKitty 特洛伊木馬感染 iOS 及 Android，透過圖片竊取加密貨幣錢包資料

先進的特洛伊木馬繞過 Apple 及 Google 安全系統，從流動裝置的相片收集加密貨幣助記詞，標誌著針對加密貨幣的流動攻擊大幅升級。攻擊新聞來源。

卡巴斯基的網絡安全研究人員發現一個名為「SparkKitty」的新型高端流動惡意程式攻擊行動，成功潛入蘋果 App Store 及 Google Play Store，已攻陷中國及東南亞超過 5,000 名加密貨幣用戶。

這個惡意程式主要竊取儲存在手機相簿中的錢包助記詞截圖，突顯針對加密貨幣攻擊手法的重大演進，專門利用流動裝置根本性的安全漏洞。

根據卡巴斯基本週發布的最新安全報告，該惡意程式最早於 2024 年初已經活躍。與傳統發佈途徑不同，SparkKitty 透過偽裝成合法應用程式（如加密貨幣報價工具、賭博程式及 TikTok 改版 Social Apps）成功潛藏於主流平台。

令人關注的是，該計劃成功繞過蘋果嚴密的審查及 Google 的 Play Protect 系統。當中被入侵的通訊應用 SOEX，一度累計超過 10,000 次下載才遭揭發及下架，顯示這類惡意程式可潛伏於官方平台相當長時間。

SparkKitty 在技術上明顯領先前身 SparkCat（2025 年 1 月首次被揭），它與一般只提取敏感資訊的木馬不同，而是無差別竊取受感染裝置全部相片，並上傳到遙距伺服器作進一步分析。

該木馬採用多階段手法運作。安裝時透過偽裝的設定檔，向用戶要求照片庫存取權限——一般用戶多數不以為意。一旦獲批，木馬便持續監控相簿，如有變動便將相片複製、本地紀錄，再傳送到攻擊者控制的伺服器。

卡巴斯基研究員強調，攻擊者的主要目標明顯是從受感染設備的截圖中識別及提取助記詞。這 12 至 24 字的恢復詞可完全存取用戶的加密資產，是網絡罪犯極其渴求的信息。

SparkKitty 出現正值全球加密貨幣網絡罪案急升。TRM Labs 2024 年分析指，約 70% 被盜的 22 億美元加密貨幣源於基建攻擊，特別是私鑰及助記詞盜竊。2025 年 1 月單月，9,220 名受害者被釣魚詐騙偷走 1,025 萬美元，反映攻擊持續而複雜。

目前惡意程式主要集中中國及東南亞，反映該區加密貨幣普及及網絡罪犯鎖定趨勢。不過資安專家警告，SparkKitty 技術成熟又效果顯著，全球擴散極有可能。能成功潛入官方應用市場，意味任何流動平台都難以完全杜絕這類攻擊。

法證分析顯示，SparkKitty 與前作 SparkCat 關聯緊密，兩者共用 debug 符號、編碼模式及多個入侵途徑，顯示應屬同一組織協同開發。但 SparkKitty 加強了數據收集及反追蹤技術，明顯較舊版本更為先進。

SparkCat 主要用 OCR 技術，從截圖讀取加密錢包助記詞，SparkKitty 則進一步擴大——直接搜刮所有相片供日後分析。此舉令攻擊者能更有效收集資料，同時減低在本機上的處理以避開安全警報。

這次行動暴露了流動端加密保安的基本漏洞。許多用戶習慣截圖紀錄助記詞，方便但卻變成 SparkKitty 這類木馬的首要攻擊目標。這種行為雖然方便，但造成嚴重保安風險，被黑客逐漸利用。

專家指出，這威脅已不僅限個人，而是波及整個加密貨幣生態圈。全球每日平均偵測到 560,000 種新惡意程式，流動平台隨加密貨幣普及變得更易被入侵。

SparkKitty 輕鬆繞過應用商店安全審查，也引發現行手機保安制度是否有效的疑問。儘管 Apple 及 Google 均有先進審查機制，仍未能完全防範駭客滲透。

業界回應與防禦建議

卡巴斯基曝光後，Apple 及 Google 都陸續下架已發現的 SparkKitty 感染應用。但這威脅演化迅速，未來或有新變種出現，業界及用戶需持續警惕。

加密貨幣保安專家建議流動錢包用戶即時採取措施：包括完全避免數碼存儲助記詞、金額較大轉用硬件錢包、徹底審查 app 權限、檢查及刪除相簿內所有與錢包資料有關的圖片。

這事故亦推動業界重議流動加密應用保安標準。業內領袖呼籲必須加強規管，例如強制安全稽核、對敏感金融 app 實施更嚴的權限設定。

雖然 SparkKitty 目前主攻亞洲市場，但專家料其全球擴散只是時間問題。隨著手機加密使用遍布全球，西方市場恐怕很快會面對類似威脅。預計 2025 年單以惡意程式為主的網絡罪案損失將高達 10.5 兆美元，加密貨幣相關攻擊所佔比例續升。

SparkKitty 能侵入應用商店的高明手法，意味其他地區很可能已有同類攻擊展開。保安專家呼籲加強國際合作，促進流動加密惡意程式相關資訊共享。

SparkKitty 行動標誌流動加密安全威脅進一步升級，結合高端技術與有效傳播手法。隨全球加密貨幣應用普及，未來類似威脅無論規模或複雜度必將增加。

資安專家預測，下一波針對加密錢包的惡意程式恐將採用更強避開檢查技巧，包括加強繞過應用商店、數據外洩功能。SparkKitty 的相片竊取方法或成效仿效，令更多惡意程式沿用類似手法，進一步加劇對流動加密用戶的風險。

事件反映加密資產持有者必須大幅提升流動端保安措施。隨著資產價值及用戶數量雙升，手機已成為全球黑客鎖定的新目標。

用戶務必改變習慣，優先使用硬件錢包，避免以手機或雲端儲存助記詞，以維護資產安全，應對風險日增的惡意軟件威脅。