卡巴斯基已向Google和蘋果公司報告了已知的惡意應用程式。
新型惡意軟體如何傳播
該惡意軟體通過受感染的合法應用程式和誘餌進行傳播——包括通訊軟體、人工智慧助手、食品配送、與加密貨幣相關的應用程式等等。其中一些應用程式可在Google Play和App Store的官方平臺上獲得。卡巴斯基遙測資料還顯示,受感染的版本正在通過其他非官方管道分發。在Google Play上,這些應用程式已被下載超過242,000次。
誰是被攻擊目標
該惡意軟體主要針對阿聯酋以及歐洲和亞洲國家的用戶。這是專家們根據受感染應用程式的運行區域資訊和惡意軟體的技術分析得出的結論。SparkCat會掃描圖片庫中多種語言的關鍵字,包括中文、日語、韓語、英語、捷克語、法語、義大利語、波蘭語和葡萄牙語。但是,專家認為受害者也可能來自其他國家。
SparkCat的工作原理
安裝後,在某些情況下,這種新的惡意軟體會請求訪問使用者智慧手機圖庫中的照片。然後,它使用光學字元辨識 (OCR) 模組分析儲存圖像中的文字。如果惡意軟體檢測到相關關鍵字,它會將圖像發送給攻擊者。駭客的主要目標是找到加密貨幣錢包的恢復詞組。有了這些資訊,他們就可以完全控制受害者的錢包並竊取資金。除了竊取恢復詞組外,該惡意軟體還能從螢幕截圖中提取其他個人資訊,例如消息和密碼。
“這是首個已知的潛入到AppStore的基於光學字元辨識(OCR)的木馬程式,”卡巴斯基惡意軟體分析師Sergey Puzan說:“就App Store和Google Play而言,目前尚不清楚這些商店中的應用程式是通過供應鏈攻擊還是其他各種方法入侵的。一些應用程式,例如食品派送服務應用程式,看起來是合法的,而另一些則明顯是誘餌。”
“SparkCat攻擊活動有一些獨特的特性,因此非常危險。首先,它通過官方應用程式商店進行傳播,並且沒有明顯的感染跡象。這種木馬的隱蔽性使得商店管理員和手機用戶都很難發現它。此外,它要求的許可權看似合理,很容易被忽視。惡意軟體試圖訪問圖庫的許可權,從用戶的角度來看,似乎對於應用程式的正常運行至關重要。這種許可權通常在相關的上下文中被請求,例如當使用者聯繫客戶支援時” 卡巴斯基惡意軟體分析師Dmitry Kalinin補充說。
卡巴斯基專家分析了該惡意軟體的安卓版本,發現代碼中包含用中文寫的注釋。此外,iOS 版本中包含開發者主目錄名稱“qiongwu”和“quiwengjing”,這表明該惡意軟體活動背後的威脅行為者精通中文。但是,目前沒有足夠的證據將這次攻擊行動溯源到已知的網路犯罪組織。
機器學習增強的攻擊
網路犯罪分子越來越關注在其惡意工具中使用神經網路。在 SparkCat 案例中,其安卓模組使用 Google ML Kit 庫解密並執行一個 OCR 外掛程式,以識別存儲圖像中的文本。其 iOS 惡意模組也使用了類似的方法。
卡巴斯基解決方案可保護安卓和iOS用戶免遭SparkCat的攻擊。卡巴斯基產品將其檢測為HEUR:Trojan.IphoneOS.SparkCat.* 和 HEUR:Trojan.AndroidOS.SparkCat.* 。
關於這次惡意軟體攻擊活動的詳細報告,請參見Securelist。
為了避免成為此類惡意軟體的受害者,卡巴斯基建議採取以下安全措施:
-
如果您安裝了其中一個受感染的應用程式,請將其從設備中刪除,並在發布更新以消除惡意功能之前,請勿使用該應用程式。
-
避免將包含敏感資訊的螢幕截圖(包括加密貨幣錢包的恢復詞組)存儲在圖庫中。例如,密碼可以存儲在專門的應用程式中,如卡巴斯基密碼管理器。
-
使用可靠的網路安全軟體,例如卡巴斯基高級版,可以防止惡意軟體感染。
關於卡巴斯基
卡巴斯基是一家成立於1997年的全球網路安全和數位隱私公司。迄今為止,卡巴斯基已保護超過十億台設備免受新興網路威脅和針對性攻擊。卡巴斯基不斷將深度威脅情報和安全技術轉化成創新的安全解決方案和服務,為全球的企業、關鍵基礎設施、政府和消費者提供安全保護。公司提供全面的安全產品組合,包括領先的端點保護解決方案以及多種針對性的安全解決方案和服務,以及用於應對複雜和不斷變化的數位威脅的網路免疫解決方案。我們幫助超過全球200,000家企業客戶保護對他們來說最重要的事物。
原文出處:Kaspersky discovers new crypto-stealing Trojan in AppStore and Google Play
