SparkCat 恶意软件

最近发现的一项名为 SparkCat 的威胁活动已利用旨在收集加密货币钱包恢复短语的欺骗性应用程序渗透到 Apple 的 App Store 和 Google Play。这些应用程序伪装成合法服务，秘密从受害者的设备中提取助记词，使数字资产面临风险。

利用 OCR 窃取钱包恢复短语

SparkCat 利用先进的光学字符识别 (OCR) 模型扫描用户的照片库，查找包含钱包恢复短语的图像。一旦检测到，这些敏感图像就会被泄露到远程命令和控制 (C2) 服务器。该活动以嵌入式软件开发工具包 (SDK) 命名，其中包含一个名为 Spark 的 Java 组件，该组件伪装成分析模块。目前尚不清楚这种渗透是供应链攻击造成的，还是开发人员故意引入的。

闯入苹果应用商店

虽然具有 OCR 功能的 Android 威胁之前就已经出现过，但 SparkCat 是此类攻击首次进入 Apple App Store 的案例之一。在 Google Play 上，受感染的应用程序被下载了超过 242,000 次，然后于 2025 年 2 月 7 日从两个平台上删除。

多平台运营

有证据表明，SparkCat 自 2024 年 3 月以来一直处于活跃状态。其不安全的应用程序通过官方和第三方应用商店分发。这些欺诈性应用程序冒充 AI 工具、食品配送服务和 Web3 平台，有些甚至提供看似合法的功能以避免引起怀疑。

SparkCat 如何收集数据

在 Android 设备上，该恶意软件会解密并激活由 Google 的 ML Kit 库提供支持的 OCR 插件。它会扫描图库，查找与其 C2 服务器预定义的关键字匹配的文本。然后，所有被标记的图像都会被传输给攻击者。

SparkCat 的 iOS 版本使用基于 ML Kit 的 OCR 机制来识别和提取敏感信息。独特的是，此版本还采用基于 Rust 的通信框架与其 C2 服务器进行交互 - 这是移动威胁中不常见的策略。

此次袭击的幕后黑手是谁？

对所用关键词和分布模式的分析表明，SparkCat 主要针对欧洲和亚洲的用户。证据表明威胁行为者精通中文，但他们的具体身份仍不清楚。

隐秘的木马病毒

SparkCat 特别具有欺骗性的原因在于它能够在不引起警觉的情况下运行。它请求的权限看起来要么是应用程序宣传的功能所必需的，要么是无害的，这样它就可以融入其中而不会引起怀疑。这种隐秘的方法使用户更难在加密货币钱包被盗之前识别出威胁。