卡巴斯基實驗室發現,一項針對加密貨幣用戶的高端惡意攻擊正透過內嵌於 Google Play 及 Apple App Store 手機應用的惡意軟件開發套件(SDK)散播。該惡意程式名為「SparkCat」,會使用光學字元識別(OCR)技術,掃描用戶相片中的加密貨幣錢包助記詞,以便黑客入侵並盜空錢包資產。
根據卡巴斯基研究員 Sergey Puzan 及 Dmitry Kalinin 於2025年2月4日發表的詳細報告,SparkCat 惡意程式會滲透裝置,並透過多語種關鍵字辨識檢查圖像中的恢復短語。取得相關資料後,攻擊者即可完全控制受害者的加密錢包資金,正如研究人員所強調。
此外,該惡意程式還會竊取其他敏感資料,包括截屏中的密碼和私人訊息。特別是在 Android 裝置上,SparkCat 偽裝成一個名為 Spark 的 Java 分析模組。此惡意軟件會從儲存在 GitLab 的加密設定檔獲取更新,並利用 Google 的 ML Kit OCR 擷取受感染裝置圖像中的文字。一旦偵測到恢復短語,資料會立刻傳送回攻擊者,有助他們將受害者的錢包導入自己的裝置。
卡巴斯基估計自2023年3月以來,SparkCat 已被下載約24.2萬次,主要影響歐洲及亞洲地區用戶。
另外,卡巴斯基於2024年中期跟進另一宗針對 Android 的惡意軟件攻擊,涉及如 Tria Stealer 等偽裝APK,能截取SMS訊息、通話紀錄及竊取Gmail資料。
這類惡意程式潛藏於多款App,包括貌似正規的外賣平台,亦有設計以吸引大眾如具AI功能的通訊軟件。這些受感染應用多用 Rust 程式語言設計、具跨平台特性,並採用複雜混淆技術以逃避偵測。
SparkCat 的來源仍未明朗。研究人員沒將其歸咎於任何已知黑客組織,但程式碼中出現中文註釋及錯誤訊息,顯示開發者精通中文。儘管它與 ESET 於2023年3月揭發的攻擊有相似之處,來源尚未確定。
卡巴斯基強烈建議用戶避免把加密錢包助記詞等敏感資料保存在相片庫中,並建議使用密碼管理工具及定期檢查、移除可疑應用程式。
有關發現最早由99Bitcoins在「Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases: Kaspersky」一文報導。