详细内容或原文请订阅后点击阅览
SparkCat 活动使用 OCR 窃取恢复短语攻击加密钱包
2024 年末,卡巴斯基专家发现了一个名为 SparkCat 的恶意活动,该活动传播恶意软件以针对加密钱包。2023 年 3 月,ESET 在修改版的 Messenger 中发现了恶意软件,该恶意软件使用 OCR 扫描受害者的图库,查找带有恢复短语的图像以恢复对加密钱包的访问权限。2024 年末,卡巴斯基发现了一场新的恶意活动,[…]
来源:Security Affairs _恶意软件SparkCat广告系列目标加密钱包使用OCR窃取恢复短语
SparkCat广告系列目标加密钱包使用OCR窃取恢复短语
Pierluigi Paganini Pierluigi Paganini 2025年2月5日在2024年底,卡巴斯基专家发现了一场恶意运动,称为SparkCat,将恶意软件散布到针对加密钱包的目标。
在2023年3月,ESET在使用OCR的Messenger修改版本中发现了恶意软件,以扫描受害者画廊的图像,以恢复对加密钱包的访问权限。
在2024年底,卡巴斯基发现了一个名为SparkCat的新恶意运动,攻击者使用了类似的策略,但针对Android和iOS用户。专家指出,恶意软件的应用程序还通过官方商店分发。
专家发现了嵌入恶意SDK/框架的Android和iOS应用程序来窃取加密钱包恢复短语。恶意应用程序从Google Play下载了242,000次以上。卡巴斯基指出,这是在App Store中发现的偷窃器的第一个已知实例。
“ Android恶意软件模块根据Google ML套件库解密并启动了OCR插件,它用来识别设备库中图像中的文本。使用从C2接收的关键字,Trojan将图像发送到命令服务器。 iOS恶意软件模块的设计类似,还将Google ML套件库用于OCR。”阅读卡巴斯基出版的报告。 “我们命名为SparkCat的恶意软件使用了一项身份不明的协议与C2进行通信,该协议以Rust语言实现,这对于移动应用程序很少见。”
报告伪装成分析模块的恶意SDK使用Android上的Java组件,在Android上使用称为“ Spark”的组件,以及iOS上的Rust组件,称为“ Gzip”,“ GoogleapeAppsdk”或“ stat。”。组件与C2服务器通信,并从加密的GitLab文件执行命令。
继续该报告包括妥协的指标(IOC)。
@securityaffairs @securityaffairs Facebook Facebook ( -