網絡安全公司Kaspersky實驗室發現了一種名爲 SparkCat 的新惡意軟體活動利用Apple App Store和Google Play應用商店中的一系列虛假應用程式竊取受害者與加密貨幣錢包相關的助記詞。Kaspersky研究人員Dmitry Kalinin和Sergey Puzan在其技術報告中表示，這些攻擊利用光學字元辨識 (OCR) 模型將包含錢包恢復短語的選定圖像從照片庫中洩露到命令和控制 (C2) 伺服器。

是指的是一個嵌入式軟體開發工具包 (SDK)，它採用了一個名為Spark的Java 元件，偽裝成一個分析模組。目前尚不清楚此感染是供應鏈攻擊的結果還是開發人員故意造成的。雖然這並不是第一次發現具有OCR功能的Android惡意軟體，但這是在Apple App Store中首次發現此類竊取程式。據稱，Google Play 中受感染的應用程式已被下載超過242,000次。

據評估，該攻擊活動自2024年3月起便已開始活躍，其應用程式透過官方和非官方應用程式商店派發。這些應用程式偽裝成人工智慧（AI）、食品配送和 Web3應用程序，看似提供一種合法功能。Kaspersky表示：「Android惡意軟體模組將解密並啟動使用Google ML Kit庫構建的OCR套件，並使用它來識別在圖庫中的圖像中找到的文字」。「與從C2收到的關鍵字相符的圖像便立即發送到攻擊接收伺服器」。類似地，SparkCat的iOS版本由別於Android依賴Google的ML Kit 函式庫進行OCR來竊取包含助記詞的圖片。該惡意軟體的一個顯著特徵是它使用基於Rust的C2通訊機制。

對所使用的關鍵字和這些應用程式可用地區的進一步分析表明，該活動主要針對歐洲和亞洲的用戶。經評估，該惡意活動是由一名精通中文的威脅行為者所為。研究人員表示：「這種木馬特別危險的原因在於，沒有跡象顯示應用程式內惡意植入被隱藏」。「它請求的權限可能看起來像是其核心功能所需，或者乍一看是無害的」。先前，Zimperium zLabs披露了另一起針對印度Android設備用戶的行動惡意軟體活動，該活動以銀行和政府應用程式為幌子，透過 WhatsApp分發惡意APK文件，從而使這些應用程式能夠收集敏感的瀏覽和財務相關資訊。

Kaspersky網路安全公司表示，已發現與此次活動有關的1,000多個虛假應用程序，攻擊者利用大約1,000個硬編碼電話號碼作為短信和一次性密碼 (OTP) 的洩露點。安全研究員Aazim Yaswant表示：「與僅依靠命令和控制 (C&C)伺服器竊取一次性密碼 (OTP)的傳統銀行木馬不同，此惡意軟體活動利用即時電話號碼重定向簡訊，留下可追踪的數位痕跡，供執法機構追踪此活動背後的威脅行為者」。據稱，名為FatBoyPanel的攻擊活動迄今已累積2.5 GB的敏感資訊，所有這些資訊均託管在Firebase端點上，任何人無需身份驗證即可存取。其中包括來自印度銀行的簡訊、銀行詳細資訊、信用卡和記帳卡資訊以及政府頒發的身份證明詳細資訊，這些用戶大約50,000名，其中大多數位於印度的西孟加拉邦、比哈爾邦、賈坎德邦、卡納塔克邦和中央邦（如下圖）。

這類攻擊事件警示我們，在下載程式碼應用程式之前，正確審查程式碼應用程式非常重要，包括仔細查看評論、檢查開發者的真實性，即使它們已上傳到官方應用程式商店。安全研究員Patrick Wardle表示，2024年針對Apple macOS 系統的新惡意軟體家族將達到24個，而2023年為21個。

同時，資訊竊取攻擊也不斷激增，例如涉及Poseidon、Atomic和Cthulhu的攻擊，這些攻擊專門針對桌面作業系統使用者。Palo Alto Networks Unit 42研究人員Tom Fakterman、Chen Erlich和Tom Sharon發布的一份報告中表示：「利用macOS的資訊竊取者經常利用原生的AppleScript框架」。「該框架提供了廣泛的操作系統存取權限，並且還通過其自然語言語法簡化了執行。由於這些提示看起來像合法的系統提示，威脅行為者會使用該框架通過社會工程欺騙受害者」。

本文參考自：https://thehackernews.com/2025/02/sparkcat-malware-uses-ocr-to-extract.html