网络安全公司卡巴斯基周二表示,其检测并阻止了一次由SparkCat恶意软件发起的攻击,该软件利用光学字符识别(OCR)技术从图像中提取加密钱包的恢复短语。
这次攻击活动始于2024年3月,通过在苹果和谷歌的应用商店上分发虚假应用来窃取用户的加密钱包助记词。这些应用伪装成人工智能、食品配送和Web3应用,虽然其中一些应用似乎提供了合法功能,但实际上却隐藏着恶意软件。
卡巴斯基研究人员德米特里·卡利宁和谢尔盖·普扎表示,这些应用会解密并启动一个使用谷歌ML Kit库构建的OCR插件,用于识别图库中图像中的文本。匹配从命令和控制(C2)服务器接收到的关键词的图像会被发送到服务器。
值得注意的是,这是首次在苹果应用商店中发现具有OCR功能的恶意软件。谷歌应用商店中的受感染应用下载量已超过242,000次。
SparkCat恶意软件的iOS版本同样依赖谷歌的ML Kit库进行OCR操作,以窃取包含助记词的图像。该恶意软件的一个显著特点是使用基于Rust的通信机制与C2服务器进行通信,这在移动应用中较为罕见。
进一步分析关键词和这些应用的可用区域表明,该活动主要针对欧洲和亚洲的用户。研究人员评估认为,此次恶意活动是由一名精通中文的威胁行为者所为。
“该木马特别危险的地方在于,其应用内没有任何恶意植入的迹象,”研究人员表示,“它所请求的权限可能看起来是其核心功能所需的,或者乍一看似乎无害。”
与此同时,网络安全公司Zimperium zLabs披露了另一针对印度安卓设备用户的移动恶意软件活动,该活动通过WhatsApp分发恶意APK文件,伪装成银行和政府应用,以窃取用户的敏感信息和财务数据。
Zimperium zLabs表示,已识别出与该活动相关的1,000多个虚假应用,攻击者利用大约1,000个硬编码电话号码作为短信和一次性密码(OTP)的泄露点。
“与传统依赖C&C服务器窃取OTP的银行木马不同,此次恶意软件活动利用真实电话号码重定向短信,为执法机构追踪幕后威胁行为者留下了可追溯的数字线索,”安全研究员阿齐姆·亚斯万特表示。
此次攻击活动名为FatBoyPanel,目前已收集了约2.5GB的敏感数据,这些数据全部托管在无需身份验证即可访问的Firebase端点上。
这包括来自印度银行的短信、银行详细信息、信用卡和借记卡信息,以及约50,000名用户的政府颁发身份证明细节,其中大多数用户位于印度的西孟加拉邦、比哈尔邦、贾坎德邦、卡纳塔克邦和中央邦。
这些事件敲响了警钟,提醒用户在下载应用时,即使是在官方应用商店中,也应仔细审查应用代码,包括检查开发者的真实性。
这一情况也与2024年针对苹果macOS系统的24个新恶意软件家族的出现相吻合,较2023年的21个有所增加,据安全研究员帕特里克·沃德尔表示。
这与针对桌面操作系统用户的InfoStealer攻击激增相一致,如Poseidon、Atomic和Cthulhu等。
“利用macOS的InfoStealer通常会利用原生的AppleScript框架,”Palo Alto Networks Unit 42的研究人员汤姆·法克特曼、陈艾利克和汤姆·莎伦在本周发布的一份报告中表示。
“该框架提供了广泛的操作系统访问权限,并且其自然语言语法简化了执行过程。由于这些提示可能看起来像是合法的系统提示,威胁行为者利用这一框架通过社会工程手段诱骗受害者。”
发表评论