一种新的移动间谍软件变种，名为SparkKitty，已渗透到苹果的App Store和Google Play，伪装成与加密货币相关的应用程序和修改版应用，悄悄提取种子短语和钱包凭证的图像。

该恶意软件似乎是SparkCat的继任者，SparkCat是2025年初首次被发现的一个活动，它使用虚假的支持聊天模块悄悄访问用户图库并提取敏感截图。

Kaspersky的研究人员在周一的一篇文章中表示，SparkKitty在同样的策略上更进一步。

与主要通过非官方Android包传播的SparkCat不同，SparkKitty已在多个通过官方商店提供的iOS和Android应用中被确认，包括一款具有加密货币交易功能的消息应用（在Google Play上安装超过10,000次）和一款名为“币coin”的iOS应用，伪装成投资组合跟踪器。

iOS变种的核心是AFNetworking或Alamofire框架的武器化版本，攻击者嵌入了一个自定义类，该类在应用启动时使用Objective-C的+load选择器自动运行。

在启动时，它检查一个隐藏的配置值，获取一个命令与控制（C2）地址，并扫描用户的图库并开始上传图像。C2地址指示恶意软件该做什么，例如何时窃取数据或发送文件，并接收被窃取的信息。

Android变种利用修改过的Java库实现相同的目标。通过Google ML Kit应用OCR来解析图像。如果检测到种子短语或私钥，文件将被标记并发送到攻击者的服务器。

在iOS上的安装是通过企业配置文件完成的，这是一种针对内部企业应用的方法，但常常被恶意软件利用。

受害者被欺骗手动信任与“SINOPEC SABIC天津石化有限公司”相关的开发者证书，从而给予SparkKitty系统级权限。

几个C2地址使用AES-256加密的配置文件，托管在混淆的服务器上。

一旦解密，它们指向有效载荷获取器和端点，例如/api/putImages和/api/getImageStatus，应用程序决定是否上传或延迟照片传输。

Kaspersky的研究人员发现其他版本的恶意软件利用了伪造的OpenSSL库（libcrypto.dylib）和混淆的初始化逻辑，表明工具集在不断演变，并且有多种分发途径。

虽然大多数应用似乎主要针对中国和东南亚的用户，但没有任何关于恶意软件限制其区域范围的迹象。

在披露后，苹果和谷歌已下架相关应用，但研究人员警告称，该活动可能自2024年初以来一直活跃，并可能仍通过侧载变种和克隆商店持续进行。

阅读更多: 朝鲜黑客通过隐藏在求职申请中的恶意软件针对顶级加密公司

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。