SparkKitty 潛伏 Apple 與 Google 官方商店,專盜相簿中的加密錢包助記詞,短短數秒資產恐被搬空。本文解析入侵流程、影響範圍與防護要點。 (前情提要:Web3安全指南:盤點硬體冷錢包的常見陷阱) (背景補充:冷錢包Trezor警告:駭客假冒官方信進行釣魚攻擊,切勿分享錢包私鑰) 當多數人從 Apple 與 Google 官方商店下載 App 時,一隻名為 SparkKitty 的惡意軟體近日被發現早已潛伏於行動裝置,專門翻找相簿裡的加密錢包助記詞,只要數秒,資產可能就會被轉走而不自知。 惡意程式滲透官方商店 根據《Cointelegraph》報導,SparkKitty 透過加密行情追蹤 App《幣 coin》及訊息交易 App《SOEX》散布。《SOEX》在 Google Play 的下載量已超過 10,000 次。 網路安全公司 Kaspersky 研究部門指出,SparkKitty 與今年 1 月揭露的 SparkCat 家族有關,活動從 2024 年初延續至今。 技術手法曝光 用戶安裝受感染 App 後,SparkKitty 會要求相簿權限並全量複製圖片,再以 OCR 偵測 12 或 24 字助記詞格式,若命中便回傳至遠端 C2 伺服器。 備註:iOS 版本偽裝成 AFNetworking.framework 或 Alamofire.framework,並以企業簽章繞過審核;Android 版本則嵌入 Java/Kotlin 程式碼或 Xposed/LSPosed 模組,透過 AES-256 加密接收配置。 受害規模與風險 據了解,目前 SparkKitty 攻擊目標現以東南亞與中國為主,但我們知道技術上無地理限制。一旦錢包助記詞外洩,攻擊者就可清空用戶資產,讓使用者面臨歸零風險。 這次事件顯示,即使下載來源為 Apple 與 Google 官方商店,仍可能遭遇惡意程式,現有信任機制受到挑戰。 用戶與平台的防護指南 個人層面,最重要的還是避免把助記詞截圖存放在手機或任何雲端。大量資產也建議改用硬體錢包並啟用多重身份驗證,同時只從可信來源下載 App、謹慎審核權限,並定期更新安全軟體。 至於產業層面,商店平台未來也需強化審核、提升對新型惡意程式的偵測能力,並對違規開發者祭出更嚴格處置,同時配合監管機關,才有望推動更完備的數位資產安全規範。 SparkKitty 案例再次提醒大眾:資安威脅與金融科技並行,唯有改變助記詞保存習慣並督促平台加強把關,才能在數位資產世界安全前行。 相關報導 中國懸賞1萬人民幣通緝台灣「駭客軍團」,資安界噴笑:這金額塞牙縫? 半年竊21億美元!資安報告:駭客攻擊重心從智能合約轉向一般用戶,四招教你保護加密資產 V神喊「多簽+冷錢包最安全」被駭客打臉,專家:Bybit案衝擊大量機構、資安整頓期或達半年〈惡意軟體SparkKitty滲透Apple與Google商店,竊取加密錢包「助記詞截圖」〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。
