卡巴斯基在Apple App Store和Google Play上发现了一款​​新的间谍软件SparkKitty。该软件窃取照片，攻击加密信息，自2024年初以来一直通过恶意应用程序活跃。

卡巴斯基的网络安全研究人员报告了一种名为SparkKitty的新间谍软件，它感染了官方Apple App Store和Google Play上的应用程序。

该间谍软件旨在窃取用户移动设备上的所有图像，疑似旨在获取加密货币信息。该活动自2024年初开始活跃，主要针对东南亚和中国用户。

SparkKitty间谍软件通过看似无害的应用程序渗透到设备中，这些应用程序通常伪装成TikTok等热门应用的修改版本。在恶意TikTok版本中，它们甚至在应用程序内嵌入了一个虚假的TikToki Mall在线商店，该商店接受使用加密货币购买消费品，通常需要邀请码才能访问。

根据卡巴斯基的报告，针对iOS设备，攻击者使用来自苹果开发者计划的特殊企业配置文件。这使得他们可以在iPhone上安装证书，使恶意应用程序看起来值得信赖，从而绕过App Store的常规审核流程直接分发。

AFNetworking.framework此外，威胁行为者通过修改和等开源网络库来嵌入他们的恶意代码Alamofire.framework，并将其伪装成libswiftDarwin.dylib。

在安卓端，卡巴斯基发现SparkKitty间谍软件隐藏在各种加密货币和赌场应用程序中。其中一款带有加密功能的即时通讯工具在被移除前，已在Google Play下载超过1万次。

另一款在官方应用商店外传播的受感染安卓应用也有一个类似的版本，并已进入App Store。这两款应用都直接将恶意代码嵌入到应用程序本身，而不是将其作为单独的组件。

一旦安装，SparkKitty间谍软件的主要目标是访问并窃取设备图库中的所有照片。虽然它广泛收集图像，但它似乎与名为SparkCat的旧款间谍软件有关联。SparkCat使用光学字符识别(OCR)技术（一种从图像中读取文本的技术），专门从屏幕截图中查找和窃取加密货币钱包恢复短语等详细信息。

SparkKitty的一些版本也使用OCR来实现此目的，利用Google ML Kit库来实现此功能，特别是在通过类似诈骗和庞氏骗局的可疑网页分发的应用程序中。

卡巴斯基认为，SparkKitty间谍软件与2025年1月发现的早期SparkCat活动直接相关，它们通过官方和非官方应用市场共享类似的传播方式。这两种威胁似乎都专注于加密货币盗窃。SparkKitty间谍软件背后的攻击者专门针对东南亚和中国的用户，通常通过修改后的赌博和成人游戏以及虚假的TikTok应用进行攻击。

虽然从第三方商店下载应用程序始终存在风险，但这一发现表明，即使是官方应用商店等值得信赖的来源也不再完全可靠。受影响地区乃至全球的用户都应谨慎对待应用程序权限，并考虑任何请求异常访问权限（尤其是照片库访问权限）的应用程序的合法性。