卡巴斯基发现：一款出现在App Store和Google Play上的最新木马间谍软件

卡巴斯基研究人员发现了一种名为SparkKitty的新型木马间谍软件，其攻击目标为iOS和安卓智能手机。它会从受感染的手机中发送图像和设备信息给攻击者。此恶意软件被嵌入与加密货币和赌博相关的应用程序中，以及一个被篡改的TikTok应用程序中，并通过App Store、Google Play以及欺诈网站进行传播。专家推测，攻击者的目标是窃取东南亚和中国居民的加密货币资产。

卡巴斯基已将这些恶意应用程序的情况通报给谷歌和苹果。某些技术细节表明，此次新发现的恶意软件活动与先前发现的SparkCat木马存在关联——后者是首个搭载光学字符识别（OCR）模块的iOS恶意软件，能扫描相册并窃取包含加密货币钱包助记词或密码的截图。继 SparkCat 之后，SparkKitty 案例是卡巴斯基研究人员一年内第二次在 App Store 上发现的木马窃密程序。

iOS平台

在App Store上，该木马程序伪装成与加密货币相关的应用——“币coin”。在假冒官方 iPhone App Store 的钓鱼页面上，恶意软件以 TikTok 和赌博应用程序为幌子进行传播。

“该木马的传播途径之一是假冒网站，攻击者试图通过这些网站感染受害者的iPhone。iOS系统有多种合法的途径可以安装非App Store上的程序。在此次恶意攻击活动中，攻击者就利用了其中一种合法途径——一种用于分发企业商业应用的特殊开发者工具。在受感染的 TikTok 版本中，在授权过程中，恶意软件除了从智能手机图库中窃取照片外，还在个人档案窗口中嵌入了一个可疑商店的链接。这家商店只接受加密货币，这进一步加深了我们对它的担忧，”卡巴斯基恶意软件专家Sergey Puzan解释说。

安卓平台

攻击者同时在第三方网站和Google Play上感染用户，将恶意软件伪装成各种加密货币服务。例如，其中一个被感染的应用程序名为SOEX，是一款带有加密货币交易功能的即时通讯软件——其在官方商店的下载量超过10,000次。

安全专家还在第三方网站上发现了受感染应用的APK安装包（这些文件可直接在安卓手机上安装，绕开官方应用商店），这些网站可能与检测到的恶意活动有关。这些应用被包装成加密货币投资项目进行推广。发布这些应用程序的网站曾在社交网络上进行广告宣传，包括YouTube。

“这些应用在安装后，其功能与描述相符。但与此同时，智能手机图库中的照片会被发送给攻击者。攻击者之后可能会试图在图片中寻找各种机密数据，例如加密钱包的恢复短语，以访问受害者的资产。还有多项间接证据表明，攻击者瞄准的正是用户的数字资产：许多被感染的应用程序都与加密货币相关，而被植入木马的TikTok应用程序也内置了一个商店，并且只接受加密货币支付商品，”卡巴斯基恶意软件专家Dmitry Kalinin评论说。

关于此次攻击的详细报告请参阅Securelist.com。

为了避免成为这类恶意软件的受害者，卡巴斯基建议采取以下安全措施：

· 如果您已安装任何受感染应用，请立即将其卸载并停止使用设备，待官方发布安全更新修复恶意功能后再使用。

· 避免在相册中存储包含敏感信息的截图（包括加密货币钱包助记词、密码等）。建议将密码等机密信息保存在专业应用中，例如卡巴斯基密码管理器。

· 可靠的网络安全软件，例如卡巴斯基优选版，可以预防恶意软件感染。由于苹果操作系统的架构特性，卡巴斯基iOS解决方案一旦检测到数据外传至攻击者指令服务器的企图，将立即向用户发出警告并阻断数据传输。

· 如果一个应用程序请求访问手机的图片库权限，请考虑该应用程序是否真的需要该权限。

关于卡巴斯基威胁研究

威胁研究团队是防范网络威胁的权威机构。通过积极参与威胁分析和技术创新，我们的威胁研究专家确保卡巴斯基的网络安全解决方案具有深刻的洞察力和卓越的效力，为我们的客户和更广泛的社区提供关键的威胁情报和强大的安全保障。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.