卡巴斯基威胁研究团队在 App Store 和 Google Play 中识别出一种新型 SparkCat 木马变种——此时距离这种窃取加密货币的恶意软件首次被发现并从这两个平台移除已过去一年。该木马会隐藏在看似合法的应用中，并扫描用户的相册以寻找加密货币钱包的恢复助记词。

新型SparkCat变种通过受感染的合法应用进行传播，这些应用包括为企业通信设计的即时通讯软件和一款外卖应用。卡巴斯基专家在App Store中发现了两款受感染的应用，在Google Play中发现了一款，目前恶意代码已从这些应用中移除。卡巴斯基遥测数据显示，感染了SparkCat的应用也通过第三方渠道分发。其中一些网页如果从iPhone打开，会模仿App Store的外观。

该木马针对安卓系统的最新变种会扫描受感染设备上的相册，查找包含日语、韩语和中文特定关键词的截图，卡巴斯基专家据此判断，该平台下的攻击活动主要针对亚洲用户的加密货币资产。然而，iOS平台下的变种采取了不同的策略，因为它扫描的是英文的加密货币钱包助记词。这使得iOS变种的潜在影响范围更广，因为它可能影响任何地区的用户。

与之前的版本相比，更新后的安卓版SparkCat具备多层混淆机制，包括代码虚拟化和跨平台编程语言的使用——这些技术在移动恶意软件中较为罕见。

卡巴斯基已向谷歌公司和苹果公司报告了已知的恶意应用程序。

“SparkCat的最新变种会在特定场景下请求查看用户智能手机相册中照片的权限——这与该木马的最初版本如出一辙。它会利用光学字符识别（OCR）模块分析存储图像中的文本。如果该窃取程序发现了相关的关键词，它就会将图像发送给攻击者。鉴于当前样本与先前样本的相似性，我们认为新版恶意软件的开发者应为同一伙人。此次攻击活动再次凸显了使用智能手机安全解决方案的重要性，以保护用户免受广泛网络威胁的侵害，”卡巴斯基网络安全专家Sergey Puzan表示。

“SparkCat恶意软件是一种不断演变的移动威胁。其背后的攻击者不断提升反分析技术的复杂度，使其能够绕过官方应用商店的审核流程。此外，SparkCat 开发者所使用的技术，如代码虚拟化和跨平台编程语言的使用，在移动恶意软件中非常罕见。这证明了威胁行为者具备高超的技术水平，”卡巴斯基网络安全专家Dmitry Kalinin补充说。

卡巴斯基产品将这种威胁检测为以下结果：HEUR:Trojan.AndroidOS.SparkCat.*, HEUR:Trojan.IphoneOS.SparkCat.*

为了避免成为此恶意软件的受害者，卡巴斯基建议用户采取以下安全措施：

·使用可靠的网络安全软件，例如卡巴斯基移动安全——它能保护智能手机上的数据免受网络攻击。卡巴斯基安卓版可阻止恶意软件的安装；而卡巴斯基iOS版则会根据苹果操作系统的架构特性，阻止设备尝试连接攻击者的命令服务器，并向用户显示警告。

·请避免在相册中存储包含敏感信息的截图，尤其是加密货币钱包的助记词。此类敏感信息以及重要文档的截图，应存放在专门的应用程序中，例如卡巴斯基密码管理器。

·即使是从官方应用商店下载应用，也要小心，因为这并不一定就毫无风险。

关于卡巴斯基威胁研究

威胁研究团队是防范网络威胁的权威机构。通过积极参与威胁分析和技术创新，我们的威胁研究专家确保卡巴斯基的网络安全解决方案具有深刻的洞察力和卓越的效力，为我们的客户和更广泛的社区提供关键的威胁情报和强大的安全保障。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止，卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务，为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务，以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。要了解更多详情，请访问www.kaspersky.com。