SparkCat——首個滲透 App Store 的 OCR 竊取木馬
你的手機相簿可能存放著一些重要的照片和截圖,例如文件、銀行合約,甚至是加密貨幣錢包的助記詞(seed phrase)。然而,這些資料可能會被惡意應用程式竊取,例如我們近期發現的 SparkCat 竊取木馬。目前,該惡意程式主要用於竊取加密貨幣錢包資訊,但未來可能被用來盜取其他敏感數據。
最令人擔憂的是,SparkCat 竟然成功滲透到官方應用商店,在 Google Play 上的下載量已接近 25 萬次。雖然過去曾有惡意應用程式出現在 Google Play,但這是首度發現竊取型木馬成功進入 App Store。這個威脅如何運作?我們又該如何保護自己?
惡意應用程式如何傳播?
被 SparkCat 感染的應用程式主要分為兩類:
- 專門用來誘騙用戶的應用程式——例如一系列聲稱具備 AI 功能的通訊軟體,全都來自同一開發者。
- 看似正常的合法應用程式——例如外送服務、新聞閱讀軟體,以及加密貨幣錢包工具。
我們尚不清楚這些應用程式是如何被植入木馬的,可能是開發者無意中使用了受感染的第三方元件(供應鏈攻擊),也可能是開發者故意加入惡意代碼。
——————————————————————-
SparkCat 如何竊取用戶資料?
我們首次發現 SparkCat 時,它隱藏在一款名為 ComeCome 的外送應用程式內,該應用程式主要在阿聯酋和印尼提供服務,並同時上架於 Google Play 和 App Store。
這類惡意應用程式的竊取方式如下:
- 請求存取相簿權限:例如,ComeCome 在用戶開啟客服聊天時,會請求存取相簿,看起來相當自然。其他應用程式則在執行主要功能時請求權限,讓人難以察覺異常。
- 掃描所有可存取的照片:一旦獲得權限,木馬便會開始分析相簿內的所有圖片,尋找有價值的信息。
AI 驅動的竊取技術
SparkCat 內建了光學文字辨識(OCR)技術,使用 Google ML Kit 這款機器學習工具來分析照片中的文字。
- 根據手機的語言設置,SparkCat 會下載相應的文字辨識模型(如拉丁文、韓文、中文或日文)。
- 透過一系列預設規則(從 C2 伺服器獲取),來篩選出可能包含加密貨幣助記詞的文本。
- 具備特定關鍵字和格式的圖片會被上傳至攻擊者的伺服器,並附上裝置資訊。
受害範圍與影響
我們在 Google Play 發現了 10 款 受感染的應用程式,在 App Store 則發現 11 款。截至目前,這些惡意應用程式已被官方移除,但 Google Play 的下載次數已超過 24 萬次,且我們的監測數據顯示,這類惡意程式也透過其他網站和第三方應用商店傳播。
根據 SparkCat 內部的字典數據,它主要針對歐洲及亞洲地區的用戶,並已經從 2024 年 3 月開始進行攻擊。此外,種種跡象顯示,開發此木馬的攻擊者可能為中文使用者。
更詳細的技術分析可以參閱我們的完整報告,發表於 Securelist。
——————————————————————-
如何防範 OCR 竊取木馬?
隨著惡意程式滲透官方應用商店,「只下載高評分應用程式」已不再是萬無一失的防禦方法。建議採取更嚴格的防護措施:
- 只下載大量用戶安裝、且至少已上架數個月的應用程式。
- 確認應用程式的官方來源,例如開發者的官網,以避免下載到假冒應用。
- 閱讀負評,特別是與隱私權或安全性相關的評論。
- 安裝完整的安全防護軟體,確保手機與電腦的安全性。
——————————————————————-
此外,請特別留意應用程式的權限請求:
- 謹慎授權相簿存取權限,如果不確定應用程式是否合法,應只允許存取特定照片,而非整個相簿。
- 避免將敏感資料存放於相簿內,例如銀行卡資訊、密碼或加密貨幣助記詞。
建議將重要資訊存放於專門的應用程式內,例如 Kaspersky Password Manager,此類工具可以安全加密並同步密碼、雙重驗證代碼、銀行卡資訊與掃描文件。
已安裝受感染應用程式該怎麼辦?
如果你已經安裝了受感染的應用程式(完整清單請見 Securelist 報告),請立刻刪除該應用程式,並在開發者推出修正版本前勿再使用。
接下來,你應該:
- 檢查相簿內的敏感資訊,確保攻擊者沒有獲取任何重要數據。
- 更改所有密碼,並封鎖任何存放於相簿內的信用卡資訊。
- 如助記詞已被竊取,請立即創建新的加密貨幣錢包,並轉移資金,因為助記詞一旦洩漏,無法修改。
SparkCat 目前的目標是加密貨幣助記詞,但未來可能被重新配置,盜取其他類型的敏感資訊。採取適當的預防措施,確保你的個人資料安全。
資料來源 : https://www.kaspersky.com/blog/ios-android-ocr-stealer-sparkcat/52980/