近期,卡巴斯基的网络安全研究人员揭露了一种名为SparkKitty的新型间谍软件,它已经渗透到了苹果官方应用商店(App Store)和谷歌应用商店(Google Play)中的应用程序里。
自2024年初开始活跃,SparkKitty主要针对东南亚和中国地区的用户,通过伪装成看似无害的应用程序(如经过修改的热门应用抖音版本)来感染设备,其主要目的是窃取用户移动设备中的所有图片,且怀疑其重点关注寻找加密货币相关信息。
对于苹果iOS设备,攻击者利用苹果开发者计划中的特殊企业配置文件,能够在iPhone上安装证书,使恶意应用看起来值得信赖,从而绕过常规的App Store审核流程进行直接分发。此外,威胁行为者通过修改开源网络库(如AFNetworking.framework和Alamofire.framework)以及伪装成libswiftDarwin.dylib等方式,将恶意代码嵌入其中。
在安卓设备方面,卡巴斯基发现SparkKitty间谍软件隐藏在各种加密货币和赌场应用中。例如,一款带有加密功能的通讯工具应用在被谷歌商店移除之前,下载量已超过10000次。还有一款在官方商店之外传播的受感染的安卓应用,其类似版本也混入了App Store。这些应用都将恶意代码直接包含在应用本身内,而不仅仅作为单独的组件存在。
一旦安装,SparkKitty间谍软件的主要目标是访问并窃取设备图库中的所有照片。虽然它广泛收集图像,但似乎与名为SparkCat的旧间谍软件有关联,后者曾使用光学字符识别(OCR)技术从图像中读取文本,特别是从截图中窃取加密货币钱包恢复短语等细节。SparkKitty的一些版本也利用OCR技术,借助谷歌ML Kit库来实现这一功能,尤其在通过类似诈骗和庞氏骗局的可疑网页分发的应用中更为常见。
卡巴斯基认为SparkKitty间谍软件与2025年1月发现的早期SparkCat活动直接相关,两者都通过官方和非官方应用市场分发,且都聚焦于加密货币盗窃。SparkKitty背后的攻击者专门针对东南亚和中国的用户,通常通过修改赌博和成人游戏以及假冒的抖音应用来实施攻击。
球分享
球点赞
球在看
点击阅读原文查看更多
原文始发于微信公众号(看雪学苑):警惕!SparkKitty间谍软件潜入苹果商店与谷歌商店,窃取照片与加密货币信息
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论