iPhone 出現 43 款截圖掃描惡意程式！專偷銀行帳號密碼、錢包資訊

你知道手機上的某些 App 可能是駭客的陷阱嗎？最近，研究人員發現了一款名為 “SparkCat” 的惡意軟體，藏在 Google Play 和 App Store 的某些 App 中，並且會偷偷掃描使用者的照片、截圖，找尋敏感的個人訊息，例如信用卡號碼、銀行帳號等資訊，甚至加密貨幣錢包的恢復密語（助記詞）更是主要目標，進而盜取資產。這是 iOS 系統首次發現此類攻擊，而且無論是 Android 還是 iPhone 的使用者都可能成為受害者。

這些惡意軟體是怎麼運作的？

研究顯示，SparkCat 可能從 2024 年 3 月開始運作，並透過 GitLab 儲存攻擊配置文件，動態控制惡意行為。攻擊主要針對歐洲和亞洲地區的使用者，但全球各地都還是有可能受害。

1. 潛伏在熱門 App 裡

這些惡意軟體被植入到一些正常的 App 中，例如外送服務或聊天軟體，讓使用者毫無防備地安裝它們。在 Google Play，受感染的應用程式下載量已超過 24 萬次，而 iOS 版的 “ComeCome” 也遭受攻擊。

▼ App Store 上的中國外送 App

2. 利用 OCR 技術搜尋關鍵字

SparkCat 惡意軟體會掃描使用者的圖片獲取敏感的個人訊息，特別是與加密貨幣相關的恢復密語（助記詞），這些字詞一旦被識別，就會被上傳到駭客的伺服器，讓駭客獲取錢包的完整控制權。

▼ 研究人員發現惡意程式針對「助記詞」這個關鍵字做掃描

3. 隱藏的惡意通訊技術

SparkCat 透過 Google 的 ML Kit 進行 OCR 分析，並使用 Rust 程式語言建立特殊的通訊方式，簡單來說，就是讓惡意程式與駭客伺服器的連線進行加密，讓追蹤變得更加困難，也不容易察覺。

iPhone 的圖庫不是有權限保護嗎？

惡意軟體會隱藏在部分功能中，例如當使用者開啟 App 的「客服對話」功能時，同時會被要求開啟照片圖庫的存取權限，並謊稱因為可能需要你上傳照片來加快客服協助處理問的流程；一旦允許，惡意軟體就有權存取你的圖片，並開始搜尋、上傳圖片。

駭客的目標涵蓋多種語言，包括中文、英文、日文、法文等，顯示攻擊是針對全球的使用者。

受感染的應用程式清單

iOS 受感染應用程式 Bundle ID

• im.pop.app.iOS.Messenger（IM+ 即時通訊）
• com.hkatv.ios（ATV 亞洲電視）
• com.atvnewsonline.app（亞洲新聞電子報）
• io.zorixchange（交易所 App）
• com.yykc.vpnjsq（VPN 加速器）
• com.llyy.au
• com.star.har91vnlive
• com.jhgj.jinhulalaab
• com.qingwa.qingwa888lalaaa
• com.blockchain.uttool（區塊鏈相關）
• com.wukongwaimai.client（悟空外賣）
• com.unicornsoft.unicornhttpsforios
• staffs.mil.CoinPark
• com.lc.btdj
• com.baijia.waimai（百家外賣）
• com.ctc.jirepaidui
• com.ai.gbet
• app.nicegram（社群軟體）
• com.blockchain.ogiut（區塊鏈相關）
• com.blockchain.98ut（區塊鏈相關）
• com.dream.towncn
• com.mjb.Hardwood.Test
• com.galaxy666888.ios
• njiujiu.vpntest（VPN 工具）
• com.qqt.jykj
• com.ai.sport
• com.feidu.pay
• app.ikun277.test
• com.usdtone.usdtoneApp2
• com.cgapp2.wallet0
• com.bbydqb
• com.yz.Byteswap.native（交易平台）
• jiujiu.vpntest（VPN 工具）
• com.wetink.chat（WeTink 聊天 App）
• com.websea.exchange（交易 App）
• com.customize.authenticator
• im.token.app
• com.mjb.WorldMiner.new（WorldMiner 區塊鏈）
• com.kh-super.ios.superapp
• com.thedgptai.event
• com.yz.Eternal.new
• xyz.starohm.chat（通訊軟體）
• com.crownplay.luckyaddress1

Android 受感染應用程式

• com.crownplay.vanity.address
• com.atvnewsonline.app
• com.bintiger.mall.android
• com.websea.exchange
• org.safew.messenger
• org.safew.messenger.store
• com.tonghui.paybank
• com.bs.feifubao
• com.sapp.chatai
• com.sapp.starcoin

如何保護自己？

1. 刪除受感染的應用程式：如果你下載了上述應用程式，請立即刪除，並避免重新安裝。

2. 避免將重要資訊存於照片：不要將加密貨幣錢包的助記詞、密碼等拍照存放在照片裡。

3. 使用安全防護軟體：安裝可靠的安全防護 App，以偵測並阻擋惡意軟體。

4. 慎重授權應用程式權限：對於要求存取照片、通訊錄等權限的 App，請務必仔細考慮必要性。

這次的攻擊行動顯示，即便是 Apple App Store 也無法完全阻擋惡意應用程式。使用者需要特別謹慎，避免將敏感資訊儲存於手機照片 App 中，並隨時檢查 App 的權限要求，才能降低被駭風險。