Google Play，Apple App App Store应用程序被发现窃取加密钱包

Google Play 商店和 Apple App Store 上的 Android 和 iOS 应用程序包含一个恶意软件开发套件（SDK），旨在使用 OCR 偷窃器窃取加密货币钱包恢复短语。该活动被称为" SparkCat "，其名称（" Spark "）是受感染应用程序中恶意 SDK 组件之一的名称（" Spark "）。

根据 Kaspersky 的说法，仅在 Google Play 上，下载数字就可以公开使用，被感染的应用程序下载了 242,000 次。

Kaspersky 解释说："我们发现 Android 和 iOS 应用程序具有恶意的 SDK/ 框架，这些应用程序嵌入了窃取加密货币钱包恢复短语，其中一些可以在 Google Play 和 App Store 上找到。"

从 Google Play 下载了被感染的应用程序超过 242,000 次。这是在 App Store 中找到偷窃器的第一个已知案例。

Spark SDK 窃取用户的加密货币

被感染的 Android 应用程序上的恶意 SDK 利用了称为" Spark "的恶意 Java 组件，该组件伪装成分析模块。

它使用 GitLab 上存储的加密配置文件，该文件提供命令和操作更新。在 iOS 平台上，该框架具有不同的名称，例如" gzip "，" googleappsdk "或" stat "。另外，它使用一个称为" IM_NET_SYS "的基于锈的网络模块来处理与命令和控制（C2）服务器的通信。

该模块使用 Google ML Kit OCR 从设备上的图像中提取文本，试图找到可用于在攻击者设备上加载加密货币钱包的恢复短语，而无需知道密码。

它（恶意组件）会根据系统的语言加载不同的 OCR 模型，以区分图片中的拉丁语，韩语和日本角色。然后，SDK 沿路径 / API / E / D / U 将有关设备的信息上传到命令服务器，并在响应中接收一个调节恶意软件后续操作的对象。

用于连接到命令和控制服务器的 URL

该恶意软件通过使用不同语言的特定关键字来搜索包含秘密的图像，而这些关键字是每个区域（欧洲，亚洲等）的变化。虽然某些应用程序显示针对区域，但它们在指定地理区域之外工作的可能性也不能排除在外。

受感染的应用程序

据发现，有 18 个受感染的 Android 和 10 个 iOS 应用程序，其中许多应用程序在各自的应用商店中仍然可用。 Android Chatai 应用程序是由卡巴斯基感染的一个应用程序，该应用程序安装了超过 50,000 次。该应用已不再在 Google Play 上可用。

在 Google Play 上下载的 50000 个应用程序

如果用户在设备上安装了这些应用程序中的任何一个，建议立即卸载它们，并使用移动防病毒工具扫描任何残留物。除此之外，用户最好还应考虑重置。