卡巴斯基实验室发现大量应用包含恶意SDK用于窃取安卓/iOS用户的加密货币钱包

imToken 是一款全球领先的区块链数字资产管理工具[ZB]，帮助你安全管理BTC, ETH, ATOM, EOS, TRX, CKB, BCH, LTC, DOT, KSM, FIL, XTZ 资产，同时支持去中心化币币兑换功能 ...

#加密货币 卡巴斯基实验室发现 Play Store 和 Apple App Store 多款应用感染恶意 SDK 用于窃取加密货币钱包助记词或恢复密钥。黑客通过阿里云注册与阿里云非常类似的域名 [.] com 不知道是不是故意的，不过如果你是加密货币投资者推荐立即检查恶意应用清单看看自己是否安装过。查看全文：

卡巴斯基实验室日前发布分析报告详细介绍该实验室最近在 Play Store 和 Apple App Store 中发现的恶意行为，这也是卡巴斯基首次注意到在 iOS 平台出现基于 OCR 光学识别窃取加密货币钱包助记词的恶意应用。

此次攻击活动被卡巴斯基实验室称为 ，该名称取自恶意 SDK 名称 Sparkim钱包使用介绍详细版，而包含这些恶意 SDK 的开发者很可能在不知情的情况下集成了这个恶意 SDK。

统计显示仅在 Play Store 这些包含恶意 SDK 的应用下载次数就超过 24.2 万次，由于苹果的 App Store 无法看到下载统计数据因此还不知道有多少受害者。

这次恶意行为主要针对加密货币投资者，大量包含该 SDK 的应用在安装后会试图通过 OCR 光学识别来检测用户加密货币钱包的助记词或恢复密钥，然后将其传送到黑客控制的服务器进而恢复加密货币钱包以清空资产。

目前有统计的数据里下载量最高的是名为 的应用程序，该应用下载次数超过 50000 次imToken，收到卡巴斯基报告后谷歌已经将该应用从商店里下架避免用户继续受到侵害。

通过分析恶意 SDK 卡巴斯基实验室发现黑客主要针对中文、日文、韩文、拉丁文用户发起攻击，不过暂时没有详细证据表明黑客仅针对特定地区发起攻击，因此这类攻击应该是广泛行为也就是面向全球用户的。

黑客使用的 C2 服务器域名注册于 2024 年 5 月，该域名为 和 ，域名注册商均为阿里巴巴香港公司 (HK) ，这域名与阿里云网址非常相似，不知道黑客是不是故意这么干的。

如果你在安卓或 iOS 设备上使用加密货币钱包则请检查自己是否安装过以下应用：

受感染的安卓应用：

受感染的 iOS 应用：

如果你曾经安装过这些应用则推荐立即将自己加密钱包中的资产转移至新钱包，避免潜在的数据泄露问题导致你的钱包资产被清空。