站长提示：助记词别截图，用纸抄下来

卡巴斯基警告称，新的 SparkKitty 恶意软件利用 OCR 技术从 iOS 和 Android 窃取加密种子短语截图，以渗透到 App Store 和 Google Play。

该恶意软件由之前发现的 SparkCat 活动演变而来，使用光学字符识别 (OCR) 技术从 iOS 和 Android 设备扫描并窃取包含敏感加密钱包信息的图像。

该活动至少自 2024 年 2 月以来一直活跃，主要针对东南亚和中国的用户，通过伪装成 TikTok mods、加密货币投资组合追踪器、赌博游戏和成人内容应用程序的受感染应用程序，以看似合法的借口请求访问照片库。

这些网络犯罪分子成功绕过了官方应用商店的安全措施，部署了在自动筛选和人工审核下看似合法的受感染应用程序。

两个突出的例子包括 Soex Wallet Tracker，它伪装成一个投资组合管理应用程序，从 Google Play 下载了超过 5,000 次；以及 Coin Wallet Pro，它在通过社交媒体广告和 Telegram 频道进行推广之前，将自己推销为一个安全的多链钱包。

SparkKitty 种子短语窃取器如何逃避 iOS 和 Android 检测

在 iOS 设备上，该恶意软件通常伪装成 AFNetworking 或 Alamofire 等流行框架的修改版本，利用 Apple 的企业配置文件系统，该系统允许组织在未经 App Store 批准的情况下分发内部应用程序。

虽然这些企业配置文件对于企业使用来说是合法的，但它为网络犯罪分子提供了安装未签名应用程序的途径，从而可以绕过苹果的标准安全审查流程。

事实上，他们甚至创建合法开源库的修改版本，在保留原有功能的同时添加了恶意功能。

例如，损坏的 AFNetworking 框架保留了其原有的网络功能，同时通过隐藏的 AFImageDownloaderTool 类秘密合并照片窃取功能，该类在应用程序加载期间通过 Objective-C 的自动加载选择器机制激活。

这种方法允许恶意软件保持休眠状态，直到满足特定条件，例如用户导航到支持聊天屏幕，此时照片访问请求会显得自然且不那么可疑。

在 Android 平台上，该恶意软件采用了同样复杂的分发方法，将恶意代码直接嵌入应用程序入口点，同时使用合法的加密货币主题来吸引目标受害者。

OCR技术将照片变成数字金矿

SparkKitty 最危险的功能是其复杂的光学字符识别技术，它可以自动识别并从受害者的照片库中提取与加密相关的信息，而无需攻击者手动查看。

与以往依赖批量照片窃取和人工分析的移动恶意软件不同，SparkKitty 利用 Google ML（机器学习）工具包集成来扫描图像中的文本模式。它专门搜索种子短语、私钥和钱包地址，尽管安全建议不要这样做，但用户通常会截屏这些内容进行备份。

卡巴斯基解释称，该恶意软件的 OCR 功能展现了先进的模式识别能力。它会自动根据文本内容过滤图像，并仅将包含加密相关信息的图像发送到命令与控制服务器。

该系统会查找包含最低字数和字符要求的特定文本块，有效区分普通照片和潜在有价值的财务信息。

这种有针对性的方法减少了数据传输要求，同时最大限度地提高了被盗信息的价值，使攻击者能够更有效地处理更大的受害者池。

卡巴斯基调查期间发现的相关活动揭示了更为复杂的实施，包括针对备份程序的版本，通过显示虚假的安全警告，指示用户“在 12 小时内在设置中备份您的钱包密钥”，否则将面临失去钱包访问权限的风险。

这些社会工程覆盖层引导受害者访问他们的种子短语，从而允许恶意软件的可访问性记录器直接捕获信息，而不是仅仅依赖现有的屏幕截图。

更广泛的影响不仅限于个人盗窃，还包括系统性的加密货币挖掘操作，相关活动就证明了这一点，例如Librarian Ghouls APT 组织将凭证盗窃与受感染设备上未经授权的门罗币挖掘结合在一起。

这些双重目的的攻击为网络犯罪分子创造了持续的收入来源，他们窃取受害者现有的加密货币持有量，并利用受害者的计算资源挖掘更多数字资产。因此，受感染的设备实际上在很长一段时间内成为了盈利基础设施。