井底圈小蛙
关注科技圈
首页 > 安全圈动态 > 正文

卡巴斯基发现大量移动端应用内含恶意SDK,窃取用户加密货币钱包助记词

2025-02-05 分类:安全圈动态 阅读(54) 评论(0) 扫描二维码 隐藏侧边

2025 年 2 月 7 日:Google 已从 Google Play 中删除恶意应用程序。
2025 年 2 月 6 日:Apple 已从 App Store 中删除恶意应用程序。

卡巴斯基实验室近日发布安全报告,揭示 Google Play 和 Apple App Store 上多款应用内含恶意SDK “SparkCat”,该SDK可窃取加密货币钱包助记词和恢复密钥,进而盗取用户资产。这是首次在 iOS 平台 发现利用 OCR 光学识别 技术窃取加密钱包信息的恶意应用。卡巴斯基的结论简而言之:

  • 卡巴斯基发现 Android 和 iOS 应用程序嵌入了恶意 SDK/框架以窃取加密钱包恢复短语,其中一些可在 Google Play 和 App Store 上找到。受感染的应用程序已从 Google Play 下载超过 242,000 次。这是已知的第一起窃取软件进入 App Store 的案例。
  • Android 恶意模块解密并启动了基于 Google ML Kit 库的 OCR 插件,用于识别设备图库中图片中的文本。该木马使用从 C2 收到的关键字将图像发送到命令服务器。 iOS 恶意软件的设计方式类似,也使用 Google 的 ML Kit 库进行 OCR。
  • 该恶意软件被卡巴斯基命名为 SparkCat,它使用未识别的协议与 C2 进行通信,并以 Rust 语言实现,这在移动应用程序中并不常见。
  • 根据恶意软件文件中的时间戳和 GitLab 存储库中配置文件的创建日期,SparkCat 自 2024 年 3 月起一直处于活跃状态。

恶意应用影响范围广泛

• 受影响的 Android 应用下载量超过 24.2 万次。
• iOS 应用下载量未知,但同样面临风险。
• 黑客主要针对 中文、日文、韩文、拉丁文 用户,攻击范围可能覆盖全球。

恶意SDK的攻击方式

  1. 用户安装受感染应用后,应用会扫描屏幕上的加密钱包助记词或恢复密钥。
  2. 通过 OCR 技术识别并提取关键信息。
  3. 通过黑客控制的服务器将数据发送出去(C2 服务器域名仿冒 阿里云 aliyung[.]com / aliyung[.]org)。
  4. 攻击者利用窃取的数据恢复用户钱包并 清空资产。

部分受感染App应用名单

Android 应用

• com.crownplay.vanity.address
• com.atvnewsonline.app
• com.bintiger.mall.android
• com.websea.exchange
• org.safew.messenger
• org.safew.messenger.store
• com.tonghui.paybank
• com.bs.feifubao
• com.sapp.chatai
• com.sapp.starcoin

iOS 应用

• im.pop.app.iOS.Messenger
• com.hkatv.ios
• com.atvnewsonline.app
• io.zorixchange
• com.yykc.vpnjsq
• com.llyy.au
• com.star.har91vnlive
• com.jhgj.jinhulalaab
• com.qingwa.qingwa888lalaaa
• com.blockchain.uttool
• com.wukongwaimai.client
• com.unicornsoft.unicornhttpsforios
• staffs.mil.CoinPark
• com.lc.btdj
• com.baijia.waimai
• com.ctc.jirepaidui
• com.ai.gbet
• app.nicegram
• com.blockchain.ogiut
• com.blockchain.98ut
• com.dream.towncn
• com.mjb.Hardwood.Test
• njiujiu.vpntest
• com.qqt.jykj
• com.ai.sport
• com.feidu.pay
• app.ikun277.test
• com.usdtone.usdtoneApp2
• com.cgapp2.wallet0
• com.bbydqb
• com.yz.Byteswap.native
• jiujiu.vpntest
• com.wetink.chat
• com.websea.exchange
• com.customize.authenticator
• im.token.app
• com.mjb.WorldMiner.new
• com.kh-super.ios.superapp
• com.thedgptai.event
• com.yz.Eternal.new
• xyz.starohm.chat
• com.crownplay.luckyaddress1

木马使用的配置、C2及存储

GitLab 上的木马配置
hxxps://gitlab.com/group6815923/ai/-/raw/main/rel.json
hxxps://gitlab.com/group6815923/kz/-/raw/main/rel.json

C2
api.firebaseo[.]com
api.aliyung[.]com
api.aliyung[.]org
uploads.99ai[.]world
socket.99ai[.]world
api.googleapps[.]top

照片存储
hxxps://dmbucket102.s3.ap-northeast-1.amazonaws.com

应对措施

  1. 检查设备 是否安装了受感染应用,若发现请 立即卸载。
  2. 更换钱包 并将资产转移到 全新钱包,避免被盗。
  3. 启用安全防护,使用 2FA(双因素认证) 和 硬件钱包 保护资金。
  4. 谨慎下载应用,尽量选择官方渠道,并关注应用权限。

此次恶意SDK事件表明,即便是官方应用商店,也难以完全杜绝恶意软件的潜伏。用户应提高警惕,谨慎管理加密资产。

 收藏 (0)
圈小蛙现已开通Telegram。单击此处加入我们的频道 (@quanxiaowa)并随时了解最新科技圈动态!

除特别注明外,本站所有文章均系根据各大境内外消息渠道原创,转载请注明出处。
文章名称:《卡巴斯基发现大量移动端应用内含恶意SDK,窃取用户加密货币钱包助记词》
文章链接:https://www.qxwa.com/kaspersky-finds-massive-number-of-mobile-apps-containing-malicious-sdks-that-steal-users-cryptocurrency-wallet-helpers.html
分享到: 生成海报
标签:

相关推荐

评论 抢沙发

取消

科技圈动态,尽在圈小蛙

联系我们关注我们