SparkCat 恶意软件攻击：安卓与 iOS 用户受威胁，超 24.2 万次下载

一项惊人的发现表明，研究人员揭露了一场广泛针对安卓和 iOS 用户的恶意软件攻击活动。

这场恶意活动被称为 “星火猫（SparkCat）”，涉及一些嵌入了恶意软件开发工具包（SDK）的应用程序，该 SDK 旨在窃取加密货币钱包的恢复短语。

部分受感染的应用程序在谷歌应用商店（Google Play）和苹果应用商店（App Store）均可获取，下载量已超过 24.2 万次。

卡巴斯基实验室（Kaspersky Labs）的安全列表（SecureList）研究人员指出，这是已知的首例基于光学字符识别（OCR）技术的加密货币钱包间谍软件潜入苹果应用商店的案例。

“星火猫” 恶意软件使用了基于谷歌机器学习工具包（Google’s ML Kit）库构建的光学字符识别（OCR）插件，扫描设备相册中的图片，寻找与加密货币恢复短语相关的关键词。该恶意软件利用了一个恶意的软件开发工具包 / 框架，该框架整合了谷歌机器学习工具包库以实现光学字符识别功能。

这些关键词包括 “助记词”（中文 “mnemonic” 的意思）、“ニーモニック”（日语 “mnemonic” 的意思）以及英文的 “Mnemonic”。一旦识别到相关图片，就会将其发送到命令与控制（C2）服务器进行进一步分析。在安卓系统中，恶意代码被发现在下载量超过 1 万次的 “ComeCome” 外卖应用程序（包名：com.bintiger.mall.android）中。

在 iOS 系统中，恶意框架在多个苹果应用商店的应用程序中被发现，这些应用程序使用了如下名称：GZIP、googleappsdk、stat 。该恶意软件使用一种用 Rust 语言实现的未知协议与命令与控制服务器进行通信，Rust 语言在移动应用程序中并不常见。

此协议涉及使用 AES – 256 加密算法的 CBC 模式对数据进行加密，并使用一个自定义库将自身伪装成一种常见的安卓混淆器。

官方应用商店中出现此类恶意软件，表明威胁形势不断变化，加强安全措施势在必行。建议用户谨慎授予应用程序权限，特别是那些请求访问如相册等敏感数据的权限。

（来自：安全客）