SparkKitty 间谍软件伪装 App 商店，窃取照片图谋加密资产

近日，卡巴斯基（Kaspersky）安全研究人员披露，一种名为 SparkKitty 的新型间谍软件已悄然出现在苹果 App Store 和谷歌 Play 商店上。该间谍软件主要通过伪装成看似正常的应用，潜入用户手机，窃取照片信息，目的可能是识别与加密货币相关的内容。

攻击活动概况

SparkKitty 自 2024 年初开始活跃，主要针对 东南亚和中国地区用户。攻击者通常伪装成 TikTok 等热门应用的变种版本，并在应用内嵌入虚假的 “TikToki Mall” 商店，支持加密货币付款，并设有邀请码机制，增加可信度。

如何入侵 iOS 设备

在 iOS 平台上，攻击者绕过官方审核流程，利用苹果企业开发者项目（Apple Enterprise Developer Program）签发的描述文件，直接向用户设备分发恶意软件。这种方式让用户误以为安装的是可信应用。

更隐蔽的是，攻击者将恶意代码嵌入了诸如 AFNetworking.framework 和 Alamofire.framework 等常见的开源网络库中，甚至伪装成系统库如 libswiftDarwin.dylib，以逃避检测。

如何入侵 Android 设备

在 Android 平台，SparkKitty 被发现隐藏于多款与加密货币或博彩相关的应用中。某款具备消息与加密货币功能的聊天工具，曾在 Google Play 上下载量超过一万次，后被官方移除。

同时，研究人员发现部分感染版本还通过钓鱼网页等渠道绕过官方商店，在 Android 和 iOS 上以相似手法散播，恶意代码直接嵌入在应用内部。

恶意功能与加密货币关联

一旦用户安装这些应用，SparkKitty 的首要任务就是收集并窃取手机相册中的所有照片。表面上看似大范围窃图，但背后隐藏的是精确目标。

研究显示，SparkKitty 的前身 SparkCat 曾使用图像识别（OCR）技术，从截图中提取加密钱包助记词等敏感信息。而 SparkKitty 的部分版本也集成了 OCR 功能，使用 Google ML Kit 来自动识别截图中的文字内容，进一步用于加密货币盗窃。

关联活动与攻击对象

卡巴斯基指出，SparkKitty 与 2025 年初发现的 SparkCat 属于同一攻击集团，分发方式、目标平台和加密货币倾向高度相似。目标多为加密货币用户、博彩类应用使用者、以及涉足成人内容的用户，通过伪装的热门软件诱导下载安装。

虽然从第三方来源下载应用风险众所周知，但此次事件也表明即便是官方 App Store 和 Google Play，也并非百分百安全。

安全建议

• 谨慎对待要求访问相册、摄像头等隐私权限的应用，特别是来路不明或声称支持加密货币的应用。

• 不要轻信声称可使用加密货币购物或投资的应用商城。

• 定期检查手机中已安装应用，删除不明来源或未经验证的程序。

• 企业应在移动设备管理系统（MDM）中限制侧载应用和可用证书来源。

SparkKitty 暗示一个趋势：攻击者不再局限于传统钓鱼和木马，更通过正规平台渗透，精准收集与加密货币相关的数据。用户和机构应提高警惕，防止敏感资产泄露。