摘要 卡巴斯基(Kaspersky)的研究人员标记了恶意软件,该恶意软件扫描用户的照片以获取加密钱包恢复短语关键短语并窃取它们 。 币圈网报道:
卡巴斯基的研究人员详细描述了一种跨平台的恶意软件活动,该活动通过植入恶意移动应用程序,专门针对加密货币钱包的恢复短语进行窃取。
根据最近的报告,“SparkCat”广告系列利用嵌入在修改后的消息传递应用程序及其他应用中的恶意软件开发套件(SDK),扫描用户的图像库以提取敏感的恢复数据。这种技术最早于2023年3月被观察到。
当时,网络安全研究人员发现这些恶意软件功能会扫描用户设备中的图库,寻找加密钱包恢复短语(通常称为助记词),并将这些信息发送到远程服务器。
研究人员指出,最初的攻击活动主要通过非官方渠道传播,仅影响了Android和Windows用户。
然而,2024年底发现的新版本“SparkCat”则有所不同。该活动采用了SDK框架,这些框架被集成到Android和iOS设备的官方及非官方应用市场中的多个应用程序中。
例如,一款名为“Comecome”的食品配送应用程序在Google Play上被发现包含恶意SDK。受感染的应用程序累计安装量超过24.2万次。随后,在Apple App Store中也发现了类似的恶意软件。
Crypto网络安全公司Hacken的DAPP审计技术负责人Stephen Ajayi告诉解密,应用商店采用的预防措施通常仅限于自动化检查,很少涉及手动审查。
区块链分析公司Amlbot的首席执行官Slava Demchuk进一步强调,代码混淆和恶意更新使问题更加复杂。这些更新是在已批准的应用程序中引入恶意软件的。
他告诉解密:“在SparkCat的案例中,攻击者掩盖了进入安全研究人员和执法部门的切入点。” “这种策略帮助他们逃避检测,同时保持竞争对手的方法隐秘。”
恶意软件利用Google的ML Kit库对存储在用户设备上的图像执行光学字符识别(OCR)。当用户访问应用程序中的支持聊天功能时,SDK会请求权限以读取图像库。
如果用户授予权限,应用程序将扫描图像中的关键词,这些关键词暗示多种语言中的助记词存在。然后,匹配的图像会被加密并传输到远程服务器。
Demchuk指出:“这种攻击方式非常罕见——我主要在ATM欺诈中看到类似策略,攻击者窃取PIN码。”
他补充说,实施此类攻击需要较高的技术水平。如果这一过程变得更易于复制,可能会造成更大的危害。
他表示:“如果经验丰富的欺诈者开始出售现成的脚本,这种方法可能会迅速传播。”
Ajayi对此表示认同,并指出“使用OCR进行扫描是一个非常聪明的技巧”,但他认为仍有改进空间。“想象一下OCR与AI结合,可以自动从图像或屏幕上提取敏感信息。”
作为对用户的建议,Demchuk建议在授予权限时要三思而后行。Ajayi还建议,钱包开发者“应找到更好的方法来处理和显示敏感数据,如种子短语。”
编辑Stacy Elliott.
loading...
964
