卡巴斯基實驗室日前釋出分析報告詳細介紹該實驗室最近在 Google Play Store 和 Apple App Store 中發現的惡意行為,這也是卡巴斯基首次注意到在 iOS 平臺出現基於 OCR 光學識別竊取加密貨幣錢包助記詞的惡意應用。
此次攻擊活動被卡巴斯基實驗室稱為 SparkCat,該名稱取自惡意 SDK 名稱 Spark,而包含這些惡意 SDK 的開發者很可能在不知情的情況下集成了這個惡意 SDK。
統計顯示僅在 Google Play Store 這些包含惡意 SDK 的應用下載次數就超過 24.2 萬次,由於蘋果的 App Store 無法看到下載統計資料因此還不知道有多少受害者。
這次惡意行為主要針對加密貨幣投資者,大量包含該 SDK 的應用在安裝後會試圖透過 OCR 光學識別來檢測使用者加密貨幣錢包的助記詞或恢復金鑰,然後將其傳送到駭客控制的伺服器進而恢復加密貨幣錢包以清空資產。
目前有統計的資料裡下載量最高的是名為 ChatAi 的應用程式,該應用下載次數超過 50000 次,收到卡巴斯基報告後谷歌已經將該應用從商店裡下架避免使用者繼續受到侵害。
透過分析惡意 SDK 卡巴斯基實驗室發現駭客主要針對中文、日文、韓文、拉丁文使用者發起攻擊,不過暫時沒有詳細證據表明駭客僅針對特定地區發起攻擊,因此這類攻擊應該是廣泛行為也就是面向全球使用者的。
駭客使用的 C2 伺服器域名註冊於 2024 年 5 月,該域名為 aliyung.com 和 aliyung.org,域名註冊商均為阿里巴巴香港公司 Dominet (HK) Limited,這域名與阿里雲網址非常相似,不知道駭客是不是故意這麼幹的。
被感染的完整 App 清單請訪問藍點網原文:https://ourl.co/107751