卡巴斯基发出警报，称移动设备上的恶意软件正在窃取加密助记词。

卡巴斯基安全研究人员发现了一起针对加密货币用户的移动恶意软件攻击活动，该活动通过受感染的应用程序进行攻击。.

据报道，SparkKitty 间谍软件利用光学字符识别技术，通过官方应用商店在 iOS 和 Android 平台上窃取包含助记词的设备屏幕截图。.

SparkKitty恶意软件渗透官方应用商店，目标是加密货币

卡巴斯基的研究人员 发现了 SparkKitty间谍软件攻击活动，此前他们曾dent出针对加密货币钱包的SparkCat恶意软件。这种新型威胁通过非官方渠道以及官方的Google Play和App Store平台分发恶意应用程序，在研究人员发出通知后，受感染的应用程序已从Google Play中移除。

SparkKitty 会利用多种传播机制攻击 iOS 和 Android 平台。在 iOS 上，恶意软件的有效载荷通过伪装成合法库（例如 AFNetworking.framework 或 Alamofire.framework）的框架，或伪装成 libswiftDarwin.dylib 的混淆库进行传播。此外，该 恶意软件 还会直接嵌入应用程序。

Android操作系统同时使用Java和Kotlin语言，其中Kotlin版本常被用作恶意Xposed模块。大多数恶意软件会无差别地劫持设备上的所有图像，但研究人员也发现了一些类似的恶意集群，它们利用光学字符识别技术攻击包含敏感信息的特定图片。.

该活动至少从 2024 年 2 月就开始了，并且与之前的 SparkCat 行动共享了目标策略和基础设施。.

SparkKitty 的影响范围比 SparkCat 针对加密货币助记词的定向攻击更广，因为它会抓取受感染设备上所有可用的图像。这有可能窃取存储在设备图库中的其他敏感财务和个人信息。.

来自不知名商店的TikTok插件是主要的感染媒介。

卡巴斯基分析师最初是在 trac可疑链接时发现此次攻击活动的，这些链接会传播TikTok安卓应用的修改版。当用户启动TikTok应用时，这些修改版应用会执行额外的恶意软件代码。.

配置文件 URL 以按钮的形式显示在被入侵的应用程序中，启动 WebView 会话以显示 TikToki Mall，这是一个接受加密货币购买消费品的网上购物门户网站。.

注册和购买均需邀请码，因此研究人员无法确定该商店的合法性或其是否正常运营。iOS 感染途径利用苹果开发者计划的企业配置文件来绕过正常的应用程序安装限制。.

攻击者劫持企业级组织应用程序分发的企业证书，使得恶意应用程序无需经过 App Store 审核即可安装到任何设备上。滥用企业配置文件是诸如在线赌场、软件破解和非法修改等不当应用程序开发者常用的手段之一。.

受感染的TikTok iOS应用程序会在启动时请求访问照片库权限，而官方发布的TikTok版本并不会这样做。该恶意软件被集成到伪装成AFNetworking.framework的框架中，并篡改了AFImageDownloader类和其他AFImageDownloaderTool组件。.

Android恶意软件变种通过加密货币主题应用程序窃取图像。

SparkKitty 的安卓版本通过加密货币主题应用程序运行， 恶意代码 嵌入在应用程序的入口点中。该恶意软件会请求包含命令与控制服务器地址的配置文件，并使用 ECB 模式下的 AES-256 加密对其进行解密，然后与远程服务器建立通信。

图像窃取通过两阶段流程实现，包括设备指纹识别和选择性上传机制。恶意软件会生成结合设备 IMEI、MAC 地址和随机 UUID 的 MD5 哈希值，并将这些dent存储在外部存储设备的文件中。.

赌场应用程序利用 LSposed 框架集成，充当恶意 Xposed 模块，拦截应用程序入口点。一款带有加密货币交易功能的感染型即时通讯应用程序在卡巴斯基发出通知后被下架，此前其在 Google Play 上的安装量已超过 1 万次。.

渐进式Web应用程序（PWA）通过诈骗平台在热门社交媒体平台上传播，这些平台宣传庞氏骗局。这些包含PWA的页面会诱导用户下载APK文件，这些文件会注册内容下载处理程序，并通过Google ML Kit光学字符识别技术处理JPEG和PNG图像，以dent包含文本的屏幕截图。.