专家发现间谍软件伪装成点餐APP，窃取加密钱包助记词

卡巴斯基防骇专家在苹果商店发现了隐藏的间谍软件，一款名为ComeCome 的iOS 点餐应用程式中出现了恶意间谍软件，这款订餐APP 也可以从Google Play 下载，目的为窃取加密货币钱包用户的助记词，借以盗取加密货币。

卡巴斯基的分析专家Dmitry Kalinin 和Sergey Puzan 表示该应用程式还会将受害者的加密货币金钥转交给诈骗集团。根据卡巴斯基研究员的说法，这款订餐APP 被嵌入了恶意SDK 框架，可于未指定时刻里解锁光学字元识别(OCR) 插件。当OCR 程式码开始运作后，应用程式就会在行动装置上搜寻萤幕截图，扫描加密货币钱包的助记词（Seed Phrase），间谍软件窃取助记词后，盗取用户钱包内的加密货币。

专家并表示由于助记词被犯罪集团盗走，应用程式背后的犯罪集团可以控制受害者的加密货币钱包，并将资金转移，这是为何助记词最好要严密保管、保持离线存取，而不是只用手机萤幕截图纪录。

Apple 已经下架了Come Come 送餐APP ，但可怕的是不论Google Play 或是苹果的App Store 都未能察觉应用程式内包含的恶意软件，目前应用程式商店里还不只一款像是Come Come 这种看似正常的应用程式供用户下载，这些应用程式可以完全躲过上架审查，就连被网友信赖的苹果商店也可骗过审查，这些看起来像是一般常用的APP 包藏祸心，被植入恶意软件SparkCat ，歹除窃取的都是敏感的个资帐户密码与加密钱包助记词。

恶意软件SparkCat 专门窃取密码和助记词

专家将窃取助记词的恶意软件命名为SparkCat，并指出它足够灵活，不仅可以窃取助记词，还可以窃取手机图库中其他的敏感数据，像是手机萤幕截图中的讯息或密码。

卡巴斯基团队表示，犯罪集团目标对象看得出是欧洲和亚洲的Android 和iOS 用户。 Google Play 商店中还有许多应用程式已被植入SparkCat，这些应用程式的下载量超过242,000 次。

无法确认SparkCat 是透过骇客潜入这些应用程式，还是应用程式开发团队本身就是诈骗集团。苹果已从iOS 商店中下架ComeCome APP， Google Play 商店也下架这款有问题的APP 。但专家担心还有许多看似正常的商业应用程式还隐藏于商店内，会被不知情用户下载。

SparkCat 如何运作？

SparkCat是指恶意应用程式中名为Spark 的高度混淆的模组，此间谍软件主要以Java 编写，并使用Rust 实现未识别协定与其远端命令和控制(C2) 伺服器进行通讯。

连接到其C2 伺服器后，Android 版本的Spark 会下载并使用Google ML Kit 库中Text Recognizer 介面的包装器从画面中提取字元，此恶意软件并会根据系统语言载入不同的OCR 模型，以识别图片中的拉丁文、韩文、中文或日文字。如果与该应用程式进行接触（注：透过合法的第三方Easemob Help Desk SDK 互动），APP 会要求存取手机装置的图像库，如果歹徒获得存取权限，他们会使用OCR 扫描萤幕截图借以窃取加密钱包助记词并将其发送到C2 伺服器。

如何防范恶意间谍软件？

将加密钱包的助记词用纸和笔记下，这是保护助记词最古早的方式。许多人为了方便会用手机截图，但专家认为这种方式较为危险。除了不要任意下载来路不明的APP 以外，平常就要时时检查应用程式的访问权限，看看录音、录影与撷取萤幕画面的功能有没有莫名其妙被开启，许多应用程式都会在下载时让用户开放这些权限，最好时时检查，不用程式时就关闭探访权限，让第三方应用程式无法进入，会是较容易的基本日常防范方式。