安全研究人员发现名为SparkCat的恶意软件潜藏于20款应用程序中，该恶意软件自2024年3月起活跃，能够窃取用户数据。最初在阿联酋和印尼的食品配送应用中发现，随后在其他19款应用中出现，这些应用在Google Play商店累计下载超过24.2万次。SparkCat利用光学字符识别技术扫描用户屏幕和图片库，寻找加密货币钱包的恢复短语，从而控制用户钱包并窃取资金。苹果和谷歌已将相关应用从各自的应用商店下架，Google Play Protect提供保护，但非官方渠道仍可能存在风险。

🚨 SparkCat恶意软件通过光学字符识别（OCR）技术，扫描用户设备屏幕和图片库，专门搜索加密货币钱包的恢复短语，包括英语、中文、日语和韩语等多种语言。

🔒 攻击者利用窃取的恢复短语，完全控制受害者的加密货币钱包，直接盗取资金，同时还能从截图中提取个人信息和密码，威胁用户的隐私安全。

🛡️ 苹果和谷歌在收到卡巴斯基的报告后，迅速采取行动，将受感染的应用程序从App Store和Google Play商店下架，以保护用户免受恶意软件的侵害。Google Play Protect能够保护安卓用户免受已知恶意软件版本的攻击。

在安全研究人员发现多达 20 款应用程序携带数据窃取恶意软件近一年之后，苹果和Google从各自的应用程序商店中撤下了这些应用程序。卡巴斯基公司的安全研究人员称，被称为 SparkCat 的恶意软件自 2024 年 3 月以来一直处于活跃状态。

最初，研究人员在阿拉伯联合酋长国和印度尼西亚使用的一款食品配送应用程序中发现了该恶意框架，但后来又在其他 19 款不相关的应用程序中发现了该恶意软件，他们称这些应用程序在 Google Play 应用商店中的累计下载次数超过了 242000 次。

研究人员发现，恶意软件使用代码捕捉用户显示屏上可见的文本--即光学字符识别（OCR）扫描受害者设备上的图片库中的关键字，从而找到加密货币钱包的恢复短语，这些短语涉及英语、中文、日语和韩语等多种语言。

研究人员发现，通过使用恶意软件捕捉受害者的恢复短语，攻击者可以完全控制受害者的钱包并窃取他们的资金。恶意软件还可以从截图中提取个人信息，如信息和密码。

在收到研究人员的报告后，苹果公司上周从 App Store 下架了这些受攻击的应用程序，Google也紧随其后。

Google发言人埃德-费尔南德斯（Ed Fernandez）表示："所有已确认的应用程序都已从 Google Play 中删除，开发者也被禁用。"发言人还证实，Android 用户可以通过内置的 Google Play Protect 安全功能免受已知版本恶意软件的攻击。

苹果公司没有回应置评请求。

卡巴斯基发言人罗斯玛丽-冈萨雷斯（Rosemarie Gonzales）表示，虽然报告中的应用程序是从官方应用程序商店下架的，但该公司的遥测数据表明，其他网站和非官方应用程序商店也有这种恶意软件。