卡巴斯基實(shí)驗(yàn)室日前發(fā)布分析報(bào)告詳細(xì)介紹該實(shí)驗(yàn)室最近在 Google Play Store 和 Apple App Store 中發(fā)現(xiàn)的惡意行為，這也是卡巴斯基首次注意到在 iOS 平臺(tái)出現(xiàn)基于 OCR 光學(xué)識(shí)別竊取加密貨幣錢包助記詞的惡意應(yīng)用。

此次攻擊活動(dòng)被卡巴斯基實(shí)驗(yàn)室稱為 SparkCat，該名稱取自惡意 SDK 名稱 Spark，而包含這些惡意 SDK 的開發(fā)者很可能在不知情的情況下集成了這個(gè)惡意 SDK。

統(tǒng)計(jì)顯示僅在 Google Play Store 這些包含惡意 SDK 的應(yīng)用下載次數(shù)就超過 24.2 萬次，由于蘋果的 App Store 無法看到下載統(tǒng)計(jì)數(shù)據(jù)因此還不知道有多少受害者。

這次惡意行為主要針對(duì)加密貨幣投資者，大量包含該 SDK 的應(yīng)用在安裝后會(huì)試圖通過 OCR 光學(xué)識(shí)別來檢測(cè)用戶加密貨幣錢包的助記詞或恢復(fù)密鑰，然后將其傳送到黑客控制的服務(wù)器進(jìn)而恢復(fù)加密貨幣錢包以清空資產(chǎn)。

目前有統(tǒng)計(jì)的數(shù)據(jù)里下載量最高的是名為 ChatAi 的應(yīng)用程序，該應(yīng)用下載次數(shù)超過 50000 次，收到卡巴斯基報(bào)告后谷歌已經(jīng)將該應(yīng)用從商店里下架避免用戶繼續(xù)受到侵害。

通過分析惡意 SDK 卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)黑客主要針對(duì)中文、日文、韓文、拉丁文用戶發(fā)起攻擊，不過暫時(shí)沒有詳細(xì)證據(jù)表明黑客僅針對(duì)特定地區(qū)發(fā)起攻擊，因此這類攻擊應(yīng)該是廣泛行為也就是面向全球用戶的。

黑客使用的 C2 服務(wù)器域名注冊(cè)于 2024 年 5 月，該域名為 aliyung.com 和 aliyung.org，域名注冊(cè)商均為阿里巴巴香港公司 Dominet (HK) Limited，這域名與阿里云網(wǎng)址非常相似，不知道黑客是不是故意這么干的。

如果你在安卓或 iOS 設(shè)備上使用加密貨幣錢包則請(qǐng)檢查自己是否安裝過以下應(yīng)用：

受感染的安卓應(yīng)用：

• com.crownplay.vanity.address

• com.atvnewsonline.app

• com.bintiger.mall.android

• com.websea.exchange

• org.safew.messenger

• org.safew.messenger.store

• com.tonghui.paybank

• com.bs.feifubao

• com.sapp.chatai

• com.sapp.starcoin

受感染的 iOS 應(yīng)用：

• im.pop.app.iOS.Messenger

• com.hkatv.ios

• com.atvnewsonline.app

• io.zorixchange

• com.yykc.vpnjsq

• com.llyy.au

• com.star.har91vnlive

• com.jhgj.jinhulalaab

• com.qingwa.qingwa888lalaaa

• com.blockchain.uttool

• com.wukongwaimai.client

• com.unicornsoft.unicornhttpsforios

• staffs.mil.CoinPark

• com.lc.btdj

• com.baijia.waimai

• com.ctc.jirepaidui

• com.ai.gbet

• app.nicegram

• com.blockchain.ogiut

• com.blockchain.98ut

• com.dream.towncn

• com.mjb.Hardwood.Test

• njiujiu.vpntest

• com.qqt.jykj

• com.ai.sport

• com.feidu.pay

• app.ikun277.test

• com.usdtone.usdtoneApp2

• com.cgapp2.wallet0

• com.bbydqb

• com.yz.Byteswap.native

• jiujiu.vpntest

• com.wetink.chat

• com.websea.exchange

• com.customize.authenticator

• im.token.app

• com.mjb.WorldMiner.new

• com.kh-super.ios.superapp

• com.thedgptai.event

• com.yz.Eternal.new

• xyz.starohm.chat

• com.crownplay.luckyaddress1

如果你曾經(jīng)安裝過這些應(yīng)用則推薦立即將自己加密錢包中的資產(chǎn)轉(zhuǎn)移至新錢包，避免潛在的數(shù)據(jù)泄露問題導(dǎo)致你的錢包資產(chǎn)被清空。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/