SparkCat 2.0：3個主流應用商店淪陷

2025年開年，一款叫SparkCat的惡意軟件在蘋果和谷歌的官方商店里潛伏了數月，專門偷加密貨幣錢包的助記詞。卡巴斯基最新報告披露，它現在升級了——不僅會讀你相冊里的截圖，還能藏在企業通訊軟件和外賣應用里。

從"截圖掃描"到應用商店滲透

SparkCat最早被發現時，靠的是一個挺刁鉆的技術：OCR（光學字符識別）。它會掃描用戶相冊里的照片和截圖，自動識別其中的文字，專門找那12個或24個隨機單詞組成的"助記詞"——加密貨幣錢包的"萬能鑰匙"。

卡巴斯基研究員在報告中打了個比方：這相當于小偷不撬你家門鎖，而是翻你隨手拍在相冊里的密碼便簽。

當時的版本主要針對亞洲用戶，手法相對粗放。但最新發現的2.0版本變了策略：不再依賴用戶主動下載可疑應用，而是直接混進正規上架的企業級工具——包括團隊協作軟件和本地生活服務類App。

蘋果App Store和Google Play的審核機制向來以嚴格著稱。2024年蘋果公開的數據顯示，其審核團隊每周處理超過10萬款應用提交，拒絕率約35%。但SparkCat的開發者找到了縫隙：利用企業級應用的功能復雜度做掩護，將惡意代碼拆分成看似無害的模塊。

一個細節值得玩味：被感染的應用在功能上完全正常，用戶幾乎無法察覺異常。

助記詞為何成了"黃金目標"

加密貨幣錢包的安全設計有個悖論：為了去中心化，它把終極控制權交給了用戶自己。

助記詞（mnemonic seed）是這套系統的備份方案。12個或24個單詞，按特定順序排列，就能在任何設備上恢復整個錢包。好處是用戶不依賴任何平臺；壞處是——這串單詞一旦泄露，資產瞬間歸零，且不可逆、不可追回。

SparkCat的精準打擊正是建立在這個機制上。卡巴斯基分析了被感染應用的代碼結構，發現其OCR模塊會優先掃描包含特定關鍵詞的圖像："wallet""seed""backup""phrase"等，以及純英文單詞列表的截圖。

更隱蔽的是觸發機制。惡意代碼并非持續運行，而是在檢測到用戶打開相冊或截圖工具時激活，模擬正常的系統行為。這種"按需啟動"的設計大幅降低了被電池監控或性能分析工具發現的風險。

2024年全球加密貨幣盜竊案損失約22億美元，其中私鑰/助記詞泄露占比超過60%。SparkCat代表的是一種更"輕量"的攻擊路徑：不需要攻破交易所，不需要社會工程學釣魚，只需要用戶的一個習慣性操作——截圖保存助記詞。

應用商店的"貓鼠游戲"升級

蘋果和谷歌并非沒有防御。iOS的沙盒機制限制應用訪問相冊的范圍，Android 13起也引入了更細粒度的媒體權限管理。但SparkCat的開發者顯然研究透了這些規則。

被感染的企業通訊應用會申請"發送圖片"權限——這在功能上完全合理。外賣應用請求相冊訪問用于上傳評價照片——同樣順理成章。惡意代碼就藏在這些正當權限的調用流程里。

卡巴斯基披露了具體的發現時間線：2024年11月首次檢測到可疑樣本，12月確認OCR模塊的加密貨幣指向性，2025年1月追蹤到已上架的3款應用。從滲透成功到被公開披露，窗口期超過兩個月。

應用商店的響應速度是個結構性難題。審核流程針對的是上架前的靜態代碼分析，而SparkCat的部分惡意行為依賴遠程配置觸發——上架時可能是"休眠"狀態，通過后續更新或服務器指令激活。

蘋果在2024年WWDC上推出的"應用公證"（App Attestation）機制試圖解決這個問題，要求應用定期向服務器證明自身完整性。但企業級應用往往有豁免條款，允許更靈活的代碼更新以適應客戶需求——這條縫被 SparkCat 鉆了進去。

用戶側的"反直覺"防護

安全建議通常聽起來很正確，執行起來很反人性。

比如"不要把助記詞截圖保存"。但現實中，一個剛入門的加密貨幣用戶面對24個隨機單詞，第一反應就是拍照或截圖存進手機相冊——比手抄快，比記腦子里靠譜。SparkCat的設計者顯然深諳此道。

卡巴斯基在報告中提到了一個被忽視的攻擊面：云同步。許多用戶開啟iCloud或Google Photos自動備份，一張本地截圖可能在幾秒內同步到多設備、多平臺。OCR掃描可以在同步完成前執行，也可以針對云端縮略圖——攻擊窗口被大幅拓寬。

更棘手的是"合法應用的信任慣性"。用戶對從官方商店下載的企業軟件警惕性天然較低，尤其是當應用本身功能完備、評分正常時。SparkCat感染的某款外賣應用在Google Play擁有超過50萬次下載，4.2星評分——惡意代碼就藏在第47次更新里。

硬件錢包廠商Ledger和Trezor的解決方案是"物理隔離"：助記詞只顯示在設備屏幕上，永不觸網，用戶必須手抄。但這增加了使用門檻，與移動端的便捷性訴求直接沖突。

檢測與清除的實操困境

對于已經感染的用戶，識別SparkCat并不容易。

它不會顯著消耗電量，不會頻繁請求額外權限，不會在后臺保持常駐進程。卡巴斯基的技術分析顯示，其OCR模塊調用的是系統原生Vision框架（iOS）和ML Kit（Android），行為特征與正常應用高度相似。

目前可靠的檢測方式依賴特定指標：應用是否包含未聲明的OCR功能，是否在上傳圖像數據到非業務相關服務器，是否在代碼中硬編碼了加密貨幣相關的關鍵詞列表。但這些都需要專業工具分析，普通用戶難以自行排查。

蘋果和Google已下架被確認的應用，但"確認"本身需要時間。卡巴斯基的報告發布時，仍有2款疑似關聯應用在商店內可用——它們使用了相似的代碼結構，但尚未被證實激活惡意行為。

對于普通用戶的建議顯得老生常談卻難以替代：檢查已安裝應用的權限清單，尤其是相冊訪問權限；關閉非必要的云同步；助記詞采用物理備份而非數字存儲。但說到底，這些措施都在對抗人性中的便利偏好。

SparkCat的演進軌跡揭示了一個趨勢：移動惡意軟件正在從"廣撒網"轉向"精準耕作"。不再追求感染量，而是追求單用戶價值——一個加密貨幣錢包的助記詞，可能比一百臺設備的瀏覽記錄更值錢。

卡巴斯基研究員在報告末尾留下了一個未被回答的問題：如果OCR技術可以被惡意軟件用于讀取助記詞，那么手機操作系統是否應該默認禁止應用對相冊圖像進行本地文字識別——哪怕這會犧牲一部分便利功能？