卡巴斯基實驗室發現一項精密的惡意軟體攻擊行動,透過嵌入 Google Play 和 Apple App Store 中的應用程式開發工具組 (SDK),專門鎖定加密貨幣用戶。這款名為「SparkCat」的惡意軟體會利用光學字元辨識 (OCR) 掃描用戶照片,尋找加密貨幣錢包的恢復助記詞,讓駭客能夠入侵並清空受害者的錢包資產。
根據卡巴斯基研究員 Sergey Puzan 與 Dmitry Kalinin 於 2025 年 2 月 4 日的完整報告,SparkCat 惡意軟體會滲透裝置,並透過多語言關鍵字檢測功能在圖片中搜尋恢復助記詞。一旦取得這些助記詞,攻擊者就能完全控制受害者的加密錢包,如研究人員所指出。
此外,該惡意軟體還能竊取更多敏感資訊,包括密碼以及截圖中的私人訊息。特別是在 Android 裝置中,SparkCat 偽裝成名為 Spark 的 Java 分析模組。它透過從 GitLab 下載加密設定檔取得行動指令,並運用 Google 的 ML Kit OCR 功能,將受感染裝置圖片中文字擷取出來。一旦偵測到助記詞,就會將資訊回傳至攻擊者手中,使駭客可以將受害者的加密貨幣錢包匯入自身裝置。
卡巴斯基估計,自 2023 年 3 月 SparkCat 出現以來,下載次數約達 24.2 萬次,主要影響歐洲和亞洲的用戶。
此外,根據 2024 年中另一份相關報告,卡巴斯基也持續監控 Android 惡意軟體行動,內容涉及像 Tria Stealer 這類偽裝 APK,會攔截簡訊與通話記錄,甚至竊取 Gmail 資料。
這類惡意軟體的蹤跡遍佈多個應用程式,部分看似合法,例如外送服務,其他則以 AI 智能訊息等應用誘惑不知情用戶。常見特徵包括採用 Rust 程式語言、跨平台功能,以及高階混淆技術來規避偵測。
SparkCat 的實際來源目前尚不明朗。研究團隊尚未將這隻惡意軟體歸屬於任何已知駭客組織,但發現程式碼中出現中文註解與錯誤資訊,顯示開發者具備中文能力。雖然它與 ESET 在 2023 年 3 月揭露的一項攻擊手法類似,但真正來源仍未確定。
卡巴斯基強烈建議使用者不要將加密錢包助記詞等重要資訊存放在相簿,改用密碼管理工具,並定期執行掃描、移除可疑應用程式。
相關發現最早報導於 99Bitcoins,文章標題為「Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases: Kaspersky」。