攻击解剖：从SparkCat到SparkKitty的“隐形”进化

2025年6月23日，卡巴斯基威胁研究团队首次披露 SparkKitty，称其为一种“高度隐蔽的图像窃取型恶意软件”。该病毒与2024年初发现的 SparkCat 恶意软件同源，共享相似的代码结构和攻击手法，但技术更为精进。卡巴斯基分析师指出，SparkKitty 最早活动可追溯至2024年2月，最初以东南亚和中国为主要目标，通过伪装成加密货币、赌博和通讯类应用，潜入用户设备。

SparkKitty 的核心目标是窃取相册中的所有图片，重点锁定加密货币钱包的 助记词（seed phrases） 截图。助记词是恢复加密钱包的唯一凭证，一旦泄露，攻击者可直接控制用户钱包，转移全部资产。相比 SparkCat，SparkKitty 的 OCR（光学字符识别）技术更高效，部分变种利用 Google ML Kit OCR，仅上传含文本的图片，降低服务器负担，提高窃取效率。此外，病毒还会收集设备标识符、浏览器 cookie 等敏感数据，增加身份盗用和账户入侵风险。

攻破围墙花园：官方商店如何成为最大攻击向量？

SparkKitty最令人警醒之处，在于它成功攻破了被认为最安全的应用分发渠道——Apple App Store和Google Play。

官方应用商店的审查机制，在这场攻防战中显得力不从心。攻击者利用“特洛伊木马”策略，将恶意代码伪装在看似无害的应用中：

App Store的失守：一款名为“币coin”的应用，以简洁的加密货币行情追踪界面为伪装，成功上架。它利用用户对行情工具的信任，诱导其授予相册访问权限。

Google Play的重灾区：名为“SOEX”的通讯应用，宣称提供“加密聊天与交易”功能，累计下载量超1万次。此外，赌博和成人游戏类应用也被证实是其重要传播媒介。据统计，自SparkCat时期至今，Google Play上相关恶意应用的累计下载量已超过24.2万次。

除了官方渠道，攻击者还辅以多维度的传播矩阵：

非官方APK分发：通过YouTube广告、Telegram群组和第三方下载站，分发伪装成TikTok破解版、热门链游或博彩应用的APK安装包。

iOS企业证书滥用：利用苹果的企业开发者计划，绕过App Store的严格审查，通过网页链接直接向用户设备安装应用。

这些应用在安装和运行时，其权限请求（如访问相册）往往被包装成应用的核心功能需求，用户极易在不经意间授权，从而引狼入室。

万人受害，资产归零：一场针对亚洲市场的“本地化”闪击战

东南亚和中国市场，成为SparkKitty的首要目标。这并非偶然，而是精心策划的“本地化”战略：

精准的用户画像：这些地区是加密货币和移动博彩应用的高度活跃市场，用户基数庞大且安全意识相对薄弱。

文化与语言的诱饵：应用名称（如“币coin”）、界面设计和宣传文案均采用本地化语言，甚至嵌入当地流行的博彩游戏元素，极大地降低了用户的防备心理。

尽管攻击集中在亚洲，但卡巴斯基警告，SparkKitty在技术上是无国界的，其代码可以被轻易改造以攻击全球任何地区的用户。X（原Twitter）上，安全专家和加密KOL已发起大规模预警，呼吁用户自查，事件的恐慌情绪正在全球加密社区蔓延。其危害是多层次的：

资产即刻蒸发：助记词是恢复钱包的唯一钥匙。一旦泄露，攻击者可在数分钟内转移走用户所有的加密资产，且几乎无法追回。

隐私彻底裸奔：相册中可能存有身份证、护照、银行卡、家庭合影等海量隐私信息，一旦被黑产利用，后果不堪设想。

连锁账户：被盗的Cookies和凭证可能导致用户的社交媒体、邮箱甚至银行账户被接管。

深思：当助记词截图成为“阿喀琉斯之踵”

平台方正在行动。Google已下架相关应用，Apple也曾因SparkCat事件封禁了近百个开发者账户。但这更像是一场永无休止的“打地鼠”游戏。只要攻击者能不断找到审查机制的漏洞，新的“木马”就会源源不断地出现。

SparkKitty事件为整个行业敲响了警钟，它暴露了几个深刻的困境：

• 应用商店的信任危机：用户对官方商店“绝对安全”的迷信已被打破。平台方需要引入更主动、更智能的动态行为检测机制，而非仅仅依赖静态代码扫描。

• 用户习惯与安全的永恒矛盾：为了便利，用户倾向于用最简单的方式——截图——来备份最重要的数据。这种行为模式恰恰是安全体系中最脆弱的一环。

• 加密安全的“最后一公里”困境：无论硬件钱包多么安全，DeFi协议多么去中心化，只要用户在助记词管理这个“最后一公里”上犯错，所有防线都将形同虚设。

如何自保？与其亡羊补牢，不如未雨绸缪

• 根除陋习，物理备份：彻底摒弃使用相册、备忘录或任何联网云服务存储助记词的习惯。回归最原始也最安全的方式：手写物理备份，并存放在不同地点的安全位置。

• 最小权限原则：像吝啬鬼一样守护你的手机权限。任何非必要的相册、通讯录、位置访问请求，都应一律拒绝。

• 建立“洁净室”环境：考虑使用一部专门的、网络隔离的旧手机来管理加密资产，不安装任何来源不明的应用。

SparkKitty或许会被剿灭，但下一个“Kitty”已经在酝酿之中。这场攻击提醒我们，Web3世界的安全，不仅是代码和协议的战争，更是一场关于人性、习惯和认知的持续博弈。在绝对的便利面前保持警惕，是每个数字公民的必修课。

​​​​​​​​​​​​​​加入我们的社区讨论该事件

官方电报（Telegram）社群：t.me/aicoincn

聊天室：致富群

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。