一项惊人的发现表明,研究人员揭露了一场广泛针对安卓和 iOS 用户的恶意软件攻击活动。
这场恶意活动被称为 “星火猫(SparkCat)”,涉及一些嵌入了恶意软件开发工具包(SDK)的应用程序,该 SDK 旨在窃取加密货币钱包的恢复短语。
部分受感染的应用程序在谷歌应用商店(Google Play)和苹果应用商店(App Store)均可获取,下载量已超过 24.2 万次。
安全信息与事件管理即服务(SIEM as a Service)
卡巴斯基实验室(Kaspersky Labs)的安全列表(SecureList)研究人员指出,这是已知的首例基于光学字符识别(OCR)技术的加密货币钱包间谍软件潜入苹果应用商店的案例。
“星火猫” 分析
“星火猫” 恶意软件使用了基于谷歌机器学习工具包(Google’s ML Kit)库构建的光学字符识别(OCR)插件,扫描设备相册中的图片,寻找与加密货币恢复短语相关的关键词。
该恶意软件利用了一个恶意的软件开发工具包 / 框架,该框架整合了谷歌机器学习工具包库以实现光学字符识别功能。
这些关键词包括 “助记词”(中文 “mnemonic” 的意思)、“ニーモニック”(日语 “mnemonic” 的意思)以及英文的 “Mnemonic”。一旦识别到相关图片,就会将其发送到命令与控制(C2)服务器进行进一步分析。在安卓系统中,恶意代码被发现在下载量超过 1 万次的 “ComeCome” 外卖应用程序(包名:com.bintiger.mall.android)中。
{
“keywords”: [“助记词”, “助記詞”, “ニーモニック”, “기억코드”, “Mnemonic”,
“Mnemotecnia”, “Mnémonique”, “Mnemotechnika”, “Mnemônico”,
“클립보드로복사”, “복구”, “단어”, “문구”, “계정”, “Phrase”]
}
下载量超 1 万次的 “ComeCome” 应用(来源 —— 安全列表)
在 iOS 系统中,恶意框架在多个苹果应用商店的应用程序中被发现,这些应用程序使用了如下名称:
苹果应用商店中的 “ComeCome” 页面(来源 —— 安全列表)
iOS 版本包含的调试符号显示其开发源自中文环境,路径包括 “/Users/qiongwu/” 和 “/Users/quiwengjing/”。
该恶意软件使用一种用 Rust 语言实现的未知协议与命令与控制服务器进行通信,Rust 语言在移动应用程序中并不常见。
包含恶意负载的热门应用(来源 —— 安全列表)
此协议涉及使用 AES – 256 加密算法的 CBC 模式对数据进行加密,并使用一个自定义库将自身伪装成一种常见的安卓混淆器。
围绕 viewDidLoad 方法的恶意包装器代码片段(来源 —— 安全列表)
在与 “rust” 服务器通信时,恶意软件遵循一个三阶段过程:
- 加密:使用 AES – 256 加密算法的 CBC 模式对数据进行加密。
- 压缩:使用 ZSTD 对加密后的数据进行压缩。
- 传输:使用一个自定义库通过 TCP 套接字发送压缩后的数据。
{
“path”: “upload@<PATH>”,
“method”: “POST”,
“contentType”: “application/json”,
“data”: “<DATA>”
}
官方应用商店中出现此类恶意软件,表明威胁形势不断变化,加强安全措施势在必行。
建议用户谨慎授予应用程序权限,特别是那些请求访问如相册等敏感数据的权限。