卡巴斯基警告：新型恶意软件SparkKitty窃取移动设备上的加密货币种子短语

卡巴斯基安全研究人员发现了一种通过受感染应用程序针对加密货币用户的新型移动恶意软件活动，代号为SparkKitty。

据报告，这种间谍软件利用光学字符识别（OCR）技术，在iOS和Android平台上窃取包含加密货币种子短语的屏幕截图，并通过官方应用商店分发恶意应用。

SparkKitty 恶意软件入侵官方应用商店，重点攻击加密货币用户

卡巴斯基研究团队在2025年1月披露了这一威胁活动。此前，他们曾发现另一款名为SparkCat的恶意软件专门针对加密货币钱包。新发现的SparkKitty不仅通过非官方渠道传播，还潜入Google Play和App Store等官方平台。目前，受感染的应用程序已在研究人员通知后从Google Play下架。

SparkKitty 攻击覆盖iOS和Android两大主流操作系统，并针对每个平台设计了多种传播机制。在iOS端，该恶意软件伪装成合法库（如AFNetworking.framework或Alamofire.framework），或混淆后的系统框架（如libswiftDarwin.dylib）。此外，它还可以直接嵌入到应用程序中。

在Android系统中，该恶意软件使用Java和Kotlin语言编写，其中Kotlin版本被用作恶意Xposed模块。大多数变种会无差别地抓取设备中的所有图像，但部分高级版本则利用OCR技术精准识别并窃取包含敏感信息的图片。

该活动自2024年2月以来一直处于活跃状态，并与之前的SparkCat行动共享部分目标策略和基础设施。

相比SparkCat专注于窃取加密货币种子短语的定向攻击，SparkKitty的影响范围更广，因为它会抓取受感染设备中的所有可用图像，从而可能泄露存储于设备中的其他类型敏感财务和个人信息。

TikTok插件成主要感染途径

卡巴斯基分析师最初是在追踪传播修改版TikTok安卓应用的可疑链接时发现了这一活动。这些修改后的应用会在用户启动主应用时执行额外的恶意代码。

受感染的应用程序中显示配置文件URL按钮，点击后会启动WebView会话，展示一个名为“TikToki Mall”的互联网购物门户，该平台接受加密货币支付以购买消费品。

由于注册和购买需要邀请码，研究人员无法确认该商店是否合法或仍在运营。在iOS端，攻击者利用Apple Developer Program的企业配置文件绕过正常应用安装限制。

攻击者通过劫持企业证书，将恶意应用伪装成企业级组织分发的应用，从而绕过App Store的审核机制。这种滥用企业配置文件的方式是非法开发者常用的手段，常用于传播在线赌场、破解软件及非法修改。

受感染的TikTok iOS应用版本在启动时会请求照片库权限，而正版TikTok并未申请此权限。该恶意软件集成在伪装成AFNetworking.framework的框架中，并篡改了AFImageDownloader类及其他相关组件。

Android恶意软件变种通过加密货币主题应用窃取数据

SparkKitty 的Android版本通过伪装成加密货币主题的应用运行，其恶意代码嵌入在应用入口点中。该恶意软件请求包含命令和控制服务器地址的配置文件，并在与远程服务器通信前，使用AES-256加密（ECB模式）解密配置文件。

图像窃取过程分为两阶段：第一阶段进行设备指纹识别，第二阶段实施选择性上传。恶意软件会结合设备IMEI、MAC地址和随机UUID生成MD5哈希值，并将这些标识符存储在外置存储的文件中。

一些赌场应用程序利用LSPosed框架集成，充当恶意Xposed模块以挂载应用入口点。一款伪装成即时通讯工具且内置加密货币交易功能的受感染应用在Google Play上的下载量已超过10,000次，随后根据卡巴斯基的通知被移除。

此外，渐进式Web应用程序（PWA）通过诈骗平台传播，这些平台在热门社交媒体上推广庞氏骗局。此类页面会提示用户下载APK文件，这些文件注册内容下载处理程序并通过Google ML Kit OCR技术处理JPEG和PNG图像，以识别包含文本的屏幕截图。

Cryptopolitan 学院：厌倦了市场波动？了解DeFi如何助你建立稳定的被动收入。立即注册