Google Play商店和Apple App Store上的Android和iOS应用程序包含一个恶意软件开发套件（SDK），旨在使用OCR偷窃器窃取加密货币钱包恢复短语。该活动被称为“ SparkCat”，其名称（“ Spark”）是受感染应用程序中恶意SDK组件之一的名称（“ Spark”）。

Kaspersky解释说：“我们发现Android和iOS应用程序具有恶意的SDK/框架，这些应用程序嵌入了窃取加密货币钱包恢复短语，其中一些可以在Google Play和App Store上找到。”

从Google Play下载了被感染的应用程序超过242,000次，这是在App Store中找到偷窃器的第一个已知案例。

Spark SDK窃取用户的加密货币

被感染的Android应用程序上的恶意SDK利用了称为“ Spark”的恶意Java组件，该组件伪装成分析模块。

它使用GitLab上存储的加密配置文件，该文件提供命令和操作更新。在iOS平台上，该框架具有不同的名称，例如“ gzip”，“ googleappsdk”或“ stat”。另外，它使用一个称为“ IM_NET_SYS”的基于锈的网络模块来处理与命令和控制（C2）服务器的通信。

该模块使用Google ML Kit OCR从设备上的图像中提取文本，试图找到可用于在攻击者设备上加载加密货币钱包的恢复短语，而无需知道密码。

它（恶意组件）会根据系统的语言加载不同的OCR模型，以区分图片中的拉丁语，韩语和日本角色。然后，SDK沿路径 / API / E / D / U将有关设备的信息上传到命令服务器，并在响应中接收一个调节恶意软件后续操作的对象。

用于连接到命令和控制服务器的URL

该恶意软件通过使用不同语言的特定关键字来搜索包含秘密的图像，而这些关键字是每个区域（欧洲，亚洲等）的变化。虽然某些应用程序显示针对区域，但它们在指定地理区域之外工作的可能性也不能排除在外。

受感染的应用程序

据发现，有18个受感染的Android和10个iOS应用程序，其中许多应用程序在各自的应用商店中仍然可用。Android Chatai应用程序是由卡巴斯基感染的一个应用程序，该应用程序安装了超过50,000次。该应用已不再在Google Play上可用。

在Google Play上下载的应用程序