卡巴斯基的研究人员详细介绍了一项跨平台恶意软件活动，该活动通过恶意移动应用程序针对加密货币钱包恢复短语。

根据最近的一份报告，名为“SparkCat”的活动使用嵌入在修改过的消息应用程序和其他应用中的恶意软件开发工具包（SDK），扫描用户的图像库以获取敏感的恢复数据。这种技术首次出现在2023年3月。

当时，网络安全研究人员观察到恶意软件功能在消息应用程序中扫描用户图库中的加密钱包恢复短语——通常称为助记词——并将其发送到远程服务器。

研究人员表示，最初的活动仅影响通过非官方应用来源的Android和Windows用户。

这对于2024年末发现的SparkCat并不适用。这项新活动采用了集成在各种可在官方和非官方应用市场上使用的Android和iOS设备应用中的SDK框架。

在一个实例中，Google Play上的一款名为“ComeCome”的食品配送应用被发现包含恶意SDK。受感染的应用程序总共被安装超过242,000次，类似的恶意软件后来也在苹果App Store上的应用中被识别出来。

加密网络安全公司Hacken的dApp审计技术负责人Stephen Ajayi告诉Decrypt，应用商店采取的预防措施通常仅限于自动检查，且很少包括人工审核。

区块链分析公司AMLBot的首席执行官Slava Demchuk进一步强调，问题因代码混淆和恶意更新而加剧，这些更新在应用程序获得批准后引入恶意软件。

“在SparkCat的案例中，攻击者混淆了入口点，以隐藏他们的行为，避免安全研究人员和执法部门的注意，”他告诉Decrypt。“这种策略帮助他们逃避检测，同时保持他们的方法对竞争对手的秘密。”

该恶意软件使用谷歌的ML Kit库对存储在用户设备上的图像执行光学字符识别（OCR）。当用户访问应用中的支持聊天功能时，SDK会请求用户授权读取图像库。

如果授权被授予，应用程序将扫描图像以查找多种语言中暗示助记词存在的关键词。匹配的图像随后被加密并传输到远程服务器。

Demchuk指出，“这种攻击方式相当不寻常——我主要在ATM欺诈中看到过类似的策略，攻击者窃取PIN码。”

他补充说，实施这样的攻击需要相当高的技术水平，如果这个过程变得更容易复制，那么可能会造成更大的损害。

“如果经验丰富的欺诈者开始出售现成的脚本，这种方法可能会迅速传播，”他说。

Ajayi表示同意，指出“使用OCR进行扫描是一个非常聪明的技巧”，但他认为仍有改进的空间。“想象一下OCR和AI的结合，自动从图像或屏幕中提取敏感信息。”

作为对用户的建议，Demchuk建议在授予应用程序权限之前三思而后行。Ajayi还建议钱包开发者“应该找到更好的方法来处理和显示敏感数据，如种子短语。”

编辑：Stacy Elliott。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。