複雜的特洛伊木馬程式突破 Apple 和 Google 的安全措施,從行動裝置相片中蒐集加密貨幣錢包的助記詞,標誌著行動端加密攻擊大幅升級。
卡巴斯基的網路安全研究員揭露了一場新型、名為「SparkKitty」的高階移動惡意軟體活動,已成功滲透 Apple App Store 與 Google Play Store,危及超過 5,000 名來自中國與東南亞的加密貨幣用戶。
此惡意軟體專門偷取儲存在手機相簿的錢包助記詞截圖,展現針對加密用戶攻擊的一項重大進化,利用了行動平台基礎層級的安全漏洞。
根據卡巴斯基本週公布的最新資安報告,該惡意程式至少自 2024 年初就已活躍。不同於傳統的惡意軟體散播方式,SparkKitty 透過偽裝成合法應用,滲入兩大行動平台,包括加密幣行情追蹤、賭博應用,以及 TikTok 這類熱門社群平台的修改版本,獲得大規模安裝。
此次活動最令人憂慮的,是它成功繞過 Apple 嚴格的 App Store 審查,以及 Google 的 Play Protect 安全機制。像 SOEX 這類被入侵的通訊應用在被發現並移除前,下載次數超過 10,000 次,顯示這些惡意軟體可在官方商店內長時間潛伏不被察覺。
進階資料竊取手法
SparkKitty 較前身 SparkCat(2025 年 1 月現身)有顯著技術提升。SparkKitty 不只選擇性鎖定敏感資訊,而是無差別竊取受感染裝置的所有圖片,建立用戶照片資料庫,再傳送到遠端伺服器分析。
此惡意軟體操作步驟精密,安裝過程會利用欺騙性描述檔進行,並請求常見的相簿存取權,容易讓一般用戶掉以輕心。一旦獲得授權,木馬便會持續監控相簿異動,建立本地圖片資料庫,再將截圖和照片傳送至攻擊者控制的伺服器。
卡巴斯基強調,攻擊者的主要目標,是從這些被截圖存進裝置的畫面中,辨識並蒐集加密錢包的助記詞。這些 12-24 字的恢復短語即可完全取得用戶的數位資產,十分值錢。
SparkKitty 的出現正好伴隨全球加密貨幣犯罪升溫。根據 TRM Labs 於 2024 年的分析,約 70% 的 22 億美元加密資產失竊案,與基礎架構攻擊有關,尤其是私鑰與助記詞被竊。僅在 2025 年 1 月,就有 9,220 名受害者因假冒釣魚行騙蒙受 1,025 萬美元損失,顯示此類攻擊持續進化且愈發猖獗。
目前惡意程式主要集中在中國及東南亞,加密貨幣普及及網路犯罪目標日益擴大。然而資安專家警告,SparkKitty 的技術實力及效果極佳,具備全球擴散的威脅,其能易於滲透官方應用商店,代表任何平台皆無法幸免於高階加密攻擊。
技術演進與歸因
鑑識分析發現,SparkKitty 與早先的 SparkCat 攻擊有高度相關性,兩者共享除錯資訊、程式架構,且受害應用來源重疊,疑似同一批攻擊者協作開發。但 SparkKitty 展現出更多技術細節的改良,包括更強的資料蒐集能力,以及更高的偵測規避技術。
SparkCat 主要用光學字元辨識技術(OCR)從圖片提取錢包恢復詞,而 SparkKitty 則蒐集裝置上的全部圖片,稍後進行統一處理。這種做法顯示攻擊者正朝向更高效率的資料收割,並減少裝置端運算,以降低觸發安全警報的風險。
這次行動暴露出行動加密使用習慣的根本弱點——許多用戶為圖方便,習慣性截圖保存助記詞,形成數位副本,正好成為 SparkKitty 這類惡意軟件的標靶。雖然用戶視角合理,卻嚴重削弱安全底線,讓技術高超的攻擊者大行其道。
安全研究員指出,這類威脅已從個人蔓延到整個加密產業生態。每天有 560,000 種惡意軟體被發現,行動平台隨全球加密幣普及,已成為主力目標。
惡意程式能成功繞過應用商店安檢,也令人質疑現行行動安全框架效能。儘管 Apple 與 Google 設有多重審查,SparkKitty 的滲透入侵證明只要攻擊者夠精明,仍可鑽漏洞發動攻擊。
產業因應與防護建議
卡巴斯基揭露後,Apple 和 Google 均展開移除相關感染應用,但此威脅變異快速,新的變種仍可能出現,未來仍需資安研究員及應用商店維運者持續警覺。
加密貨幣資安專家建議行動錢包用戶立即加強防護。主要措施包括:避免任何電子方式保存助記詞、將大額持幣存放在硬體錢包、嚴格審查應用權限。用戶務必檢查自己相簿是否存有錢包資訊截圖,並立刻刪除。
本事件也使業界再度討論行動端加密安全標準。業界領袖呼籲提升加密應用的安全規範,包括必須執行安全稽核,及對處理敏感金融資訊的應用施以更嚴格權限控管。
雖然 SparkKitty 目前聚焦亞洲市場,資安專家警告全球擴大已不可避免。該惡意軟件證實的效果,加上全球加密幣普及,西方市場也可能面臨同等待遇。預計到 2025 年,全球網路犯罪——包含惡意軟體驅動的攻擊——每年可能造成 10.5 兆美元經濟損失,加密錢包攻擊正快速成長。
SparkKitty 能夠滲透應用商店表明,其他區域很可能已出現類似行動。資安界呼籲強化國際協作,對抗行動加密惡意軟體,包括應用商店與資安組織之間更積極的資訊交流。
未來威脅評估
SparkKitty 活動象徵行動端加密威脅顯著升級,結合高技術力與成熟散佈渠道。隨全球加密貨幣用戶增加,類似攻擊預期會愈發常見且精緻。
專家預測,未來針對加密錢包的惡意軟體將具備更強規避與資料竊取能力,並進一步加強繞過審查。SparkKitty 透過徹底取圖的手法成功,未來類似惡意家族恐持續跟進,讓行動加密用戶環境日益險峻。
此事件凸顯加密貨幣持有者強化行動安全措施的必要。數位資產價值與普及日增,行動裝置已成先進網路犯罪組織的極佳目標。
用戶應調整自身安全習慣,重視硬體錢包存放、避免電子檔儲存助記詞,應對行動端惡意軟體與日俱增的威脅。