专家发现间谍软件伪装成点餐APP，窃取加密钱包助记词

卡巴斯基防骇专家在苹果商店发现了隐藏的间谍软件，一款名为ComeCome 的iOS 点餐应用程式中出现了恶意间谍软件，这款订餐APP 也可以从Google Play 下载，目的为窃取加密货币钱包用户的助记词，借以盗取加密货币。

卡巴斯基的分析专家Dmitry Kalinin 和Sergey Puzan 表示该应用程式还会将受害者的加密货币金钥转交给**集团。根据卡巴斯基研究员的说法，这款订餐APP 被嵌入了恶意SDK 框架，可于未指定时刻里解锁光学字元识别(OCR) 插件。当OCR 程式码开始运作后，应用程式就会在行动装置上搜寻萤幕截图，扫描加密货币钱包的助记词（Seed Phrase），间谍软件窃取助记词后，盗取用户钱包内的加密货币。

专家并表示由于助记词被犯罪集团盗走，应用程式背后的犯罪集团可以控制受害者的加密货币钱包，并将资金转移，这是为何助记词**要严密保管、保持离线存取，而不是只用手机萤幕截图纪录。

Apple 已经下架了Come Come 送餐APP ，但可怕的是不论Google Play 或是苹果的App Store 都未能察觉应用程式内包含的恶意软件，目前应用程式商店里还不只一款像是Come Come 这种看似正常的应用程式供用户下载，这些应用程式可以**躲过上架审查，就连被网友信赖的苹果商店也可骗过审查，这些看起来像是一般常用的APP 包藏祸心，被植入恶意软件SparkCat ，歹除窃取的都是敏感的个资帐户密码与加密钱包助记词。

恶意软件SparkCat 专门窃取密码和助记词

专家将窃取助记词的恶意软件命名为SparkCat，并指出它足够灵活，不仅可以窃取助记词，还可以窃取手机图库中其他的敏感数据，像是手机萤幕截图中的讯息或密码。

卡巴斯基团队表示，犯罪集团目标对象看得出是欧洲和亚洲的Android 和iOS 用户。 Google Play 商店中还有许多应用程式已被植入SparkCat，这些应用程式的下载量超过242,000 次。

无法确认SparkCat 是透过骇客潜入这些应用程式，还是应用程式开发团队本身就是**集团。苹果已从iOS 商店中下架ComeCome APP， Google Play 商店也下架这款有问题的APP 。但专家担心还有许多看似正常的商业应用程式还隐藏于商店内，会被不知情用户下载。

SparkCat 如何运作？

SparkCat是指恶意应用程式中名为Spark 的高度混淆的模组，此间谍软件主要以Java 编写，并使用Rust 实现未识别协定与其远端命令和控制(C2) 伺服器进行通讯。

连接到其C2 伺服器后，Android 版本的Spark 会下载并使用Google ML Kit 库中Text Recognizer 介面的包装器从画面中提取字元，此恶意软件并会根据系统语言载入不同的OCR 模型，以识别图片中的拉丁文、韩文、中文或日文字。如果与该应用程式进行接触（注：透过合法的第三方Easemob Help Desk SDK 互动），APP 会要求存取手机装置的图像库，如果歹徒获得存取权限，他们会使用OCR 扫描萤幕截图借以窃取加密钱包助记词并将其发送到C2 伺服器。

如何防范恶意间谍软件？

将加密钱包的助记词用纸和笔记下，这是保护助记词最古早的方式。许多人为了方便会用手机截图，但专家认为这种方式较为危险。除了不要任意下载来路不明的APP 以外，平常就要时时检查应用程式的访问权限，看看录音、录影与撷取萤幕画面的功能有没有莫名其妙被开启，许多应用程式都会在下载时让用户开放这些权限，**时时检查，不用程式时就关闭探访权限，让第三方应用程式无法进入，会是较容易的基本日常防范方式。