在智能手机领域,苹果的生态系统被认为是最安全的。 安全专家的独立分析多年来也反复证明了这一点。但苹果的护栏并非坚不可摧。相反,不良行为者似乎又取得了令人担忧的突破。
根据卡巴斯基的分析,具有光学字符识别 (OCR) 功能的恶意软件首次在 App Store 中被发现。该恶意软件不是窃取手机上存储的文件,而是扫描本地存储的屏幕截图,分析文本内容,并将必要的信息转发到服务器。
这次恶意软件植入操作代号为“SparkCat”,目标是从官方存储库(Google 的 Play 商店和苹果的 App Store)以及第三方来源植入的应用程序。受感染的应用程序在两个平台上的下载量约为 25 万次。
有趣的是,该恶意软件搭载在谷歌的 ML Kit 库之上,该工具包允许开发人员部署机器学习功能,以便在应用程序中进行快速离线数据处理。这个 ML Kit 系统最终允许 Google OCR 模型扫描 iPhone 上存储的照片并识别包含敏感信息的文本。
但该恶意软件似乎不仅仅能够窃取与加密相关的恢复代码。卡巴斯基的报告称:“必须指出的是,该恶意软件非常灵活,不仅可以窃取这些短语,还可以窃取图库中的其他敏感数据,例如可能在屏幕截图中捕获的消息或密码。”
ComeCome 是目标 iPhone 应用程序之一,它表面上看起来是一款中餐外卖应用程序,但实际上却加载了屏幕截图读取恶意软件。卡巴斯基的分析指出:“这是在苹果官方应用程序市场中发现的第一个已知的感染 OCR 间谍软件的应用程序案例。”
然而,目前尚不清楚这些有问题的应用程序的开发人员是否参与了嵌入恶意软件,或者是否是供应链攻击。无论起源如何,整个管道都相当不起眼,因为这些应用程序似乎合法,并且满足消息传递、人工智能学习或食品配送等任务。值得注意的是,跨平台恶意软件还能够混淆其存在,从而使其更难以检测。
该活动的主要目标是提取加密钱包恢复短语,这可以让不良行为者接管一个人的加密钱包并带走他们的资产。目标区域似乎是欧洲和亚洲,但一些热门应用程序似乎也在非洲和其他地区运行。