卡巴斯基實驗室日前發(fā)布分析報告詳細(xì)介紹該實驗室最近在 Google Play Store 和 Apple App Store 中發(fā)現(xiàn)的惡意行為，這也是卡巴斯基首次注意到在 iOS 平臺出現(xiàn)基于 OCR 光學(xué)識別竊取加密貨幣錢包助記詞的惡意應(yīng)用。

此次攻擊活動被卡巴斯基實驗室稱為 SparkCat，該名稱取自惡意 SDK 名稱 Spark，而包含這些惡意 SDK 的開發(fā)者很可能在不知情的情況下集成了這個惡意 SDK。

統(tǒng)計顯示僅在 Google Play Store 這些包含惡意 SDK 的應(yīng)用下載次數(shù)就超過 24.2 萬次，由于蘋果的 App Store 無法看到下載統(tǒng)計數(shù)據(jù)因此還不知道有多少受害者。

這次惡意行為主要針對加密貨幣投資者，大量包含該 SDK 的應(yīng)用在安裝后會試圖通過 OCR 光學(xué)識別來檢測用戶加密貨幣錢包的助記詞或恢復(fù)密鑰，然后將其傳送到黑客控制的服務(wù)器進(jìn)而恢復(fù)加密貨幣錢包以清空資產(chǎn)。

目前有統(tǒng)計的數(shù)據(jù)里下載量最高的是名為 ChatAi 的應(yīng)用程序，該應(yīng)用下載次數(shù)超過 50000 次，收到卡巴斯基報告后谷歌已經(jīng)將該應(yīng)用從商店里下架避免用戶繼續(xù)受到侵害。

通過分析惡意 SDK 卡巴斯基實驗室發(fā)現(xiàn)黑客主要針對中文、日文、韓文、拉丁文用戶發(fā)起攻擊，不過暫時沒有詳細(xì)證據(jù)表明黑客僅針對特定地區(qū)發(fā)起攻擊，因此這類攻擊應(yīng)該是廣泛行為也就是面向全球用戶的。

黑客使用的 C2 服務(wù)器域名注冊于 2024 年 5 月，該域名為 aliyung.com 和 aliyung.org，域名注冊商均為阿里巴巴香港公司 Dominet (HK) Limited，這域名與阿里云網(wǎng)址非常相似，不知道黑客是不是故意這么干的。

如果你在安卓或 iOS 設(shè)備上使用加密貨幣錢包則請檢查自己是否安裝過以下應(yīng)用：

受感染的安卓應(yīng)用：

• com.crownplay.vanity.address

• com.atvnewsonline.app

• com.bintiger.mall.android

• com.websea.exchange

• org.safew.messenger

• org.safew.messenger.store

• com.tonghui.paybank

• com.bs.feifubao

• com.sapp.chatai

• com.sapp.starcoin

受感染的 iOS 應(yīng)用：

• im.pop.app.iOS.Messenger

• com.hkatv.ios

• com.atvnewsonline.app

• io.zorixchange

• com.yykc.vpnjsq

• com.llyy.au

• com.star.har91vnlive

• com.jhgj.jinhulalaab

• com.qingwa.qingwa888lalaaa

• com.blockchain.uttool

• com.wukongwaimai.client

• com.unicornsoft.unicornhttpsforios

• staffs.mil.CoinPark

• com.lc.btdj

• com.baijia.waimai

• com.ctc.jirepaidui

• com.ai.gbet

• app.nicegram

• com.blockchain.ogiut

• com.blockchain.98ut

• com.dream.towncn

• com.mjb.Hardwood.Test

• njiujiu.vpntest

• com.qqt.jykj

• com.ai.sport

• com.feidu.pay

• app.ikun277.test

• com.usdtone.usdtoneApp2

• com.cgapp2.wallet0

• com.bbydqb

• com.yz.Byteswap.native

• jiujiu.vpntest

• com.wetink.chat

• com.websea.exchange

• com.customize.authenticator

• im.token.app

• com.mjb.WorldMiner.new

• com.kh-super.ios.superapp

• com.thedgptai.event

• com.yz.Eternal.new

• xyz.starohm.chat

• com.crownplay.luckyaddress1

如果你曾經(jīng)安裝過這些應(yīng)用則推薦立即將自己加密錢包中的資產(chǎn)轉(zhuǎn)移至新錢包，避免潛在的數(shù)據(jù)泄露問題導(dǎo)致你的錢包資產(chǎn)被清空。

關(guān)注公眾號：拾黑（shiheibook）了解更多

友情鏈接：

關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/
安全、綠色軟件下載就上極速下載站：https://www.yaorank.com/