研究人员在Google和Apple Apps中旗帜偷走恶意软件

卡巴斯基的研究人员详细介绍了跨平台恶意软件活动，该活动通过恶意移动应用程序针对加密货币钱包恢复短语。

根据最近的报告，“ SparkCat”广告系列使用嵌入在修改后的消息传递应用程序和其他应用程序中的恶意软件开发套件（SDK）来扫描用户的图像库以获取敏感恢复数据。该技术于2023年3月首次观察到。

当时，网络安全研究人员在消息传递应用程序中观察到恶意软件功能，扫描用户画廊，用于加密钱包恢复短语（通常称为mnemonics）发送到远程服务器。

研究人员说，最初的广告系列只通过非正式的应用程序来源影响了Android和Windows用户。

对于2024年底发现的SparkCat而言，SparkCat并非如此。该新广告系列采用了SDK框架，该框架集成到Android和iOS设备的官方和非官方应用程序市场上可用的各种应用程序中。

在一个例子中，发现一个名为“ Comecome”的食品交付应用程序在Google Play上被发现包括恶意SDK。受感染的应用程序已集体安装了242,000次以上，后来在Apple App Store上可用的应用程序中确定了类似的恶意软件。

Crypto网络安全公司Hacken的DAPP审计技术负责人Stephen Ajayi告诉解密应用商店采用的预防措施通常等于自动支票，很少包含手动审查。

区块链分析公司Amlbot的首席执行官Slava Demchuk进一步强调，该问题被代码混淆和恶意更新更加复杂，这些更新是在已批准应用程序后引入恶意软件的。

他告诉他说：“就Sparkcat而言，攻击者掩盖了进入安全研究人员和执法部门的切入点。”解密。 “这种策略有助于他们逃避检测，同时使竞争对手的方法秘密。”

恶意软件使用Google的ML套件库在存储在用户设备上的图像上执行光学角色识别（OCR）。当用户访问应用程序中的支持聊天功能时，SDK请求会提示他们通过权限请求阅读图像库。

如果授予许可，则应用程序将扫描图像中的关键字，这些关键字暗示了多种语言中的助记符存在。然后将匹配的图像加密并传输到远程服务器。

Demchuk指出：“此攻击向量非常不寻常 - 我在ATM欺诈中大多看到类似的策略，攻击者窃取了销钉代码。”

他补充说，进行这种攻击需要良好的技术才能，如果该过程变得更简单复制，则可能会造成更多的损害。

他说：“如果经验丰富的欺诈者开始出售现成的脚本，这种方法可能会迅速传播。”

Ajayi同意，并指出“ OCR进行扫描是一个非常聪明的技巧”，但他认为仍然有改进的空间。 “想象一下OCR和AI的组合，可以自动从图像或屏幕上挑选敏感信息。”

作为对用户的建议，Demchuk建议三思而后行，然后授予应用程序的权限。阿贾伊还建议，钱包开发人员“应该找到更好的处理和显示敏感数据（如种子短语）的方法。”

编辑Stacy Elliott.