43款App Store惡意軟體曝光，專用iPhone截圖竊取銀行資料

蘋果 App Store 向來以嚴格審核和安全為名，但近日卻爆出有些惡意軟體已經繞過驗證，網路安全公司卡巴斯基研究人員發現，不管是 Google Play 或 App Store 軟體商店都出現一種罕見的新型惡意間諜軟體「SparkCat」，其中 App Store 平台竟有 43 款應用程式遭感染，專門利用 OCR 技術來竊取 iPhone 或 Android 用戶的螢幕截圖資料，並將資料發送到外部伺服器。

App Store惡意軟體 SparkCat 潛入，利用 OCR 技術竊取密碼

根據知名卡巴斯基 Kaspersky 安全研究顯示，一款名為 SparkCat 的新型惡意軟體，專門鎖定加密貨幣錢包，透過存取使用者的相簿截圖來竊取加密貨幣錢包的恢復密碼，將用來盜取個人加密貨幣錢包。

研究還近一步發現，SparkCat 不僅鎖定竊取加密貨幣錢包，還可能從 iPhone 相簿中蒐集其他機密資訊、聊天記錄、各種銀行帳號密碼、信用卡資料等，甚至蒐集裝置資訊，為後續攻擊做準備。

SparkCat 可能是通過被感染的軟體開發工具包（SDK）滲透進App Store 平台，就連同 Google Play 平台也出現相關惡意軟體，通常這種供應鏈攻擊手法相當高明，甚至可能讓一些開發者在不知情的情況下將惡意代碼嵌入自己的應用中，甚至還有不少應用是由惡意開發者刻意散布，大多都會利用免費 AI 等服務用來吸引受害者下載。

SparkCat 惡意軟體是如何運作？

SparkCat 觸發 OCR 技術來盜取用戶資料也做的相當隱密，會先引誘用戶聯繫客服人員線上聊天，惡意軟體會要求讀取裝置內的圖片與截圖，只要用戶允許授權後，SparkCat 就會解密啟動內建光學字符識別（OCR）外掛程式 Google ML Kit 並進行掃描，分析相簿內所有圖片內容，從遠端伺服器獲取的關鍵字並篩選資訊。

SparkCat 會利用 OCR 技術偵測截圖內是否含有加密貨幣錢包密碼、恢復助記詞或其他敏感資訊，並將含有敏感資訊的圖片回傳至指定的伺服器，就能進一步盜取受害者的資料或銀行帳戶現金。

App Store 遭感染 SparkCat 惡意軟體名單

卡巴斯基安全研究也發現，這次 SparkCat 主要攻擊目標是針對亞洲和歐洲用戶，其中包括中文、港澳、日文、越南等國家。目前已知 App Store 和 Google Play 平台上有三款應用程式內建 SparkCat 惡意軟體，包括外送服務 ComeCome，以及兩款免費 AI聊天工具 AnyGPT、WeTink。

隨後安全研究員也公開 App Store 受感染 Bundle ID 應用數量高達 43 款，其中也包含一些看似很正常的 APP，瘋先生也進一步分析完整名單如下：

• im.pop.app.iOS.Messenger（IM+）
• com.hkatv.ios（ATV 亞洲電視）
• com.atvnewsonline.app（ATV News Online）
• io.zorixchange（Zorix Exchange）
• com.yykc.vpnjsq（VPN 加速器）
• com.llyy.au（澳大利亞APP具體不明）
• com.star.har91vnlive（Star HAR91VN Live）
• com.jhgj.jinhulalaab（金狐Lalaab）
• com.qingwa.qingwa888lalaaa（青蛙 Qingwa）
• com.blockchain.uttool（UT Tool 或 OGIUT）
• com.wukongwaimai.client（悟空外賣）
• com.unicornsoft.unicornhttpsforios（Unicorn HTTPS）
• staffs.mil.CoinPark（涉及軍事相關機構不公開上架APP）
• com.lc.btdj（某款BTDJ工具縮寫）
• com.baijia.waimai（BAIJIA百家外卖）
• com.ctc.jirepaidui（可能是急排隊）
• com.ai.gbet（AI類應用）
• app.nicegram（Nicegram 是 Telegram 的增強版應用）
• com.blockchain.ogiut（區塊鏈相關，OGIUT可能是專案名）
• com.blockchain.98ut（同上，98ut可能是某個項目編號）
• com.dream.towncn（夢想小鎮）
• com.mjb.Hardwood.Test（MJB公司的Hardwood測試應用）
• com.galaxy666888.ios（遊戲或工具）
• njiujiu.vpntest（九九VPN）
• com.qqt.jykj（JYKJ可能是教育科技）
• com.ai.sport（AI Sport）
• com.feidu.pay（飞度支付）
• app.ikun277.test（ikun277測試工具）
• com.usdtone.usdtoneApp2（USDT One）
• com.cgapp2.wallet0（CG錢包）
• com.bbydqb（BBYDQB）
• com.yz.Byteswap.native（Byteswap）
• jiujiu.vpntest（同njiujiu.vpntest）
• com.wetink.chat（WeTink Chat）
• com.websea.exchange（WebSea交易所）
• com.customize.authenticator（自訂驗證器 兩步驟驗證工具）
• im.token.app（Token.im 加密貨幣錢包）
• com.mjb.WorldMiner.new（World Miner 世界礦工；挖礦工具）
• com.kh-super.ios.superapp（KH超級應用）
• com.thedgptai.event（DGPT工具）
• com.yz.Eternal.new（永恆 Eternal 應用）
• xyz.starohm.chat（Starohm Chat）
• com.crownplay.luckyaddress1（Crown Play幸運地址：賭博遊戲）

iPhone用戶如何自保避免 SparkCat 攻擊？

考慮到 App Store 龐大用戶群，潛在受害者可能高達數百萬，資安專家建議 iPhone 用戶採取以下措施：

• 謹慎授權應用程式相簿所有權限：對於要求存取相簿的應用程式，務必謹慎考慮，避免隨意授權。
• 定期檢查應用程式列表：定期檢查iPhone上的應用程式列表，移除不常用或可疑的應用程式。
• 更新iOS系統：確保iPhone系統更新到最新版本，以修補已知的安全漏洞。
• 不截圖敏感資訊：盡量避免使用螢幕截圖功能儲存敏感資訊，例如銀行帳戶、信用卡號碼等。

Google Play 遭感染 SparkCat 惡意軟體名單

• com.crownplay.vanity.address
• com.atvnewsonline.app
• com.bintiger.mall.android
• com.websea.exchange
• org.safew.messenger
• org.safew.messenger.store
• com.tonghui.paybank
• com.bs.feifubao
• com.sapp.chatai
• com.sapp.starcoin

延伸閱讀：

• 蘋果正開發全新Apple遊戲平台，整合Game Center 與App Store 功能
• App Store跨區下載日本App教學，免新帳號iOS 跨區日本技巧
• 蘋果分享Apple ID 安全指南：防釣魚、防詐騙和保障帳號安全一次看

參考資料來源：securelist