SparkKitty 潛伏 Apple 與 Google 官方商店,專盜相簿中的加密錢包助記詞,短短數秒資產恐被搬空。本文解析入侵流程、影響範圍與防護要點。
(前情提要:Web3安全指南:盤點硬體冷錢包的常見陷阱)
(背景補充:冷錢包Trezor警告:駭客假冒官方信進行釣魚攻擊,切勿分享錢包私鑰)
當多數人從 Apple 與 Google 官方商店下載 App 時,一隻名為 SparkKitty 的惡意軟體近日被發現早已潛伏於行動裝置,專門翻找相簿裡的加密錢包助記詞,只要數秒,資產可能就會被轉走而不自知。
惡意程式滲透官方商店
根據《Cointelegraph》報導,SparkKitty 透過加密行情追蹤 App《幣 coin》及訊息交易 App《SOEX》散布。《SOEX》在 Google Play 的下載量已超過 10,000 次。
網路安全公司 Kaspersky 研究部門指出,SparkKitty 與今年 1 月揭露的 SparkCat 家族有關,活動從 2024 年初延續至今。
技術手法曝光
用戶安裝受感染 App 後,SparkKitty 會要求相簿權限並全量複製圖片,再以 OCR 偵測 12 或 24 字助記詞格式,若命中便回傳至遠端 C2 伺服器。
備註:iOS 版本偽裝成 AFNetworking.framework 或 Alamofire.framework,並以企業簽章繞過審核;Android 版本則嵌入 Java/Kotlin 程式碼或 Xposed/LSPosed 模組,透過 AES-256 加密接收配置。
受害規模與風險
據了解,目前 SparkKitty 攻擊目標現以東南亞與中國為主,但我們知道技術上無地理限制。一旦錢包助記詞外洩,攻擊者就可清空用戶資產,讓使用者面臨歸零風險。
這次事件顯示,即使下載來源為 Apple 與 Google 官方商店,仍可能遭遇惡意程式,現有信任機制受到挑戰。
用戶與平台的防護指南
個人層面,最重要的還是避免把助記詞截圖存放在手機或任何雲端。大量資產也建議改用硬體錢包並啟用多重身份驗證,同時只從可信來源下載 App、謹慎審核權限,並定期更新安全軟體。
至於產業層面,商店平台未來也需強化審核、提升對新型惡意程式的偵測能力,並對違規開發者祭出更嚴格處置,同時配合監管機關,才有望推動更完備的數位資產安全規範。
SparkKitty 案例再次提醒大眾:資安威脅與金融科技並行,唯有改變助記詞保存習慣並督促平台加強把關,才能在數位資產世界安全前行。
📍相關報導📍
中國懸賞1萬人民幣通緝台灣「駭客軍團」,資安界噴笑:這金額塞牙縫?
