Kaspersky报告损害了移动恶意软件窃取用户的加密种子短语

卡巴斯基安全研究人员通过感染的应用程序发现了针对加密货币用户的移动恶意软件活动。

据报道，Sparkkitty间谍软件通过官方的应用商店窃取了使用光学角色识别技术窃取了装有种子短语的设备屏幕截图。

Sparkkitty恶意软件渗透官方应用商店针对加密货币

卡巴斯基的研究人员发现了Sparkkitty的间谍软件活动，此前他们以前的dent恶意软件瞄准了加密货币钱包。新威胁通过非官方来源以及官方的Google Play和App Store平台分发了恶意应用程序，在研究人员通知后，已从Google Play中删除了受感染的应用程序。

Sparkkitty攻击iOS和Android平台，每个平台都有多种输送机制。在iOS上，恶意软件有效载荷是通过伪装成合法图书馆的框架来交付的，例如afnetworking.framework或alamofire.framework，或伪装成伪装成libswiftdarwin.dylib的库的库。恶意软件还将自己直接插入应用程序。

Android操作系统同时采用Java和Kotlin语言，而Kotlin版本则用作恶意Xposed模块。大多数恶意软件版本不加选择地劫持了设备上的所有图像，尽管研究人员使用光学特征识别来检测到类似的恶意集群，并使用敏感信息攻击特定的图片。

自2024年2月以来，该活动一直活跃，并且还与先前的SparkCat操作共享了目标策略和基础设施。

Sparkkitty比SparkCat对加密货币种子短语的有针对性攻击范围更大，因为它刮掉了从感染设备中获得的所有图像。这有可能收集存储在设备画廊中的其他敏感财务和个人信息。

来自晦涩的商店的Tiktok mod用作主要感染媒介

卡巴斯基分析师最初遇到了这项运动，当时 tracKing经常可疑链接，这些链接正在传播Tiktok Android应用程序的修改。当用户启动主要应用活动时，修改后的应用程序执行了其他恶意软件代码。

配置文件URL在被折衷的应用程序中作为按钮显示，启动WebView会话以显示Tiktoki Mall，这是一个互联网购物门户网站，可用于消费者项目的加密货币。

注册和购买仅限于需要邀请代码，因此研究人员无法确定商店的合法性或是否运营。 iOS感染向量利用Apple Developer计划企业配置文件来规避普通应用程序安装限制。

攻击者劫持了企业级组织应用程序发行的企业证书，使恶意应用程序无需App Store批准即可在任何设备上安装。企业概况滥用是不适当应用程序的开发人员（例如在线赌场，软件破解和非法修改）采用的一种广泛的策略。

Tiktok iOS应用程序的受感染版本请求在启动期间的照片库权限，这在Tiktok的真实版本中不存在。该恶意软件集成到假装为afnetworking的框架中。框架和篡改Afimagedownloader类和其他Afimagedownloadertooter组件。

Android恶意软件变体通过以加密货币为主题的应用程序窃取图像

SparkKitty的Android版本通过以加密货币为主题的应用程序运行，其恶意代码嵌入了入口点。恶意软件请求配置文件包含命令和控制服务器地址，在与远程服务器建立通信之前，请在欧洲央行模式下使用AES-256加密解密它们。

图像盗窃是通过涉及设备指纹和选择性上传机制的两个阶段过程进行的。该恶意软件创建了MD5哈希，将设备IMEI，MAC地址和随机UUID组合在一起，并将这些IdentIfiers存储在外部存储中。

赌场应用程序利用LSPOPEDS框架集成，充当挂接应用程序入口点的恶意XPOUDS模块。一项具有加密货币交换功能的感染消息应用程序在Kaspersky通知后删除之前，在Google Play上达到了10,000多个安装。

渐进的Web应用程序通过骗局平台在流行的社交媒体平台上广告庞氏骗局。这些包含PWA的页面促使用户下载注册内容的APK文件下载处理程序，通过Google ML ML KIT光学角色识别技术处理JPEG和PNG图像，以识别含有文本的屏幕dent。

加密大都会学院：想在2025年养活您的钱吗？在即将到来的WebClass中DeFi进行操作保存您的位置