SparkCat 惡意軟體

最近發現的名為 SparkCat 的威脅活動已利用旨在收集加密貨幣錢包恢復短語的欺騙性應用程式滲透到 Apple 的 App Store 和 Google Play。這些應用程式偽裝成合法服務，秘密從受害者的裝置中提取助記詞，使數位資產面臨風險。

利用 OCR 竊取錢包恢復短語

SparkCat 利用先進的光學字元辨識 (OCR) 模型掃描使用者的照片庫，尋找包含錢包恢復短語的影像。一旦被發現，這些敏感影像就會洩漏到遠端命令和控制 (C2) 伺服器。該活動以嵌入式軟體開發工具包 (SDK) 命名，其中包含一個名為 Spark 的 Java 元件，該元件偽裝成分析模組。目前尚不清楚這次滲透是源自供應鏈攻擊還是開發商故意造成的。

闖入蘋果應用商店

雖然具有 OCR 功能的 Android 威脅之前就已經出現，但 SparkCat 是此類攻擊首次進入 Apple App Store 的執行個體之一。在 Google Play 上，被感染的應用程式被下載了超過 242,000 次，直到 2025 年 2 月 7 日從兩個平台上刪除。

多平台營運

有證據表明，SparkCat 自 2024 年 3 月以來一直活躍。這些欺詐性應用程式冒充人工智慧工具、食品配送服務和 Web3 平台，有些甚至提供看似合法的功能以避免引起懷疑。

SparkCat 如何收集數據

在 Android 裝置上，該惡意軟體會解密並啟動由 Google ML Kit 程式庫提供支援的 OCR 外掛程式。它會掃描圖庫，尋找與其 C2 伺服器中預先定義的關鍵字相符的文字。任何標記的影像都會傳送給攻擊者。

SparkCat 的 iOS 版本使用基於 ML Kit 的 OCR 機制來識別和提取敏感資訊。獨特的是，此版本還採用了基於 Rust 的通訊框架與其 C2 伺服器進行互動——這是一種在行動威脅中不常見的策略。

這次襲擊的幕後黑手是誰？

對所使用的關鍵字和分佈模式的分析表明，SparkCat 主要針對歐洲和亞洲的使用者。證據表明，威脅行為者能夠說一口流利的中文，但他們的具體身份仍然未知。

隱密的木馬病毒

SparkCat 尤其具有欺騙性，因為它可以在不引起警覺的情況下運作。它請求的權限看起來要么是應用程式所宣傳的功能所必需的，要么是無害的，允許它融入其中而不引起懷疑。這種隱密的方法使得用戶在其加密貨幣錢包受到威脅之前更難識別威脅。