Một phần mềm độc hại di động mới có tên SparkKitty đang âm thầm xâm nhập vào điện thoại thông minh, tìm kiếm cụm từ hạt giống tiền điện tử trong thư viện hình ảnh để đánh cắp tiền.
Công ty an ninh mạng Kaspersky đã phát hiện ra mối đe dọa này sau nhiều tháng theo dõi hoạt động đáng ngờ trên cả nền tảng Android và iOS.
Phần mềm độc hại này ẩn bên trong các ứng dụng có vẻ vô hại và đã ảnh hưởng đến hàng nghìn người dùng, chủ yếu ở Trung Quốc và Đông Nam Á.
SparkKitty được nhúng vào nhiều ứng dụng có chủ đề về tiền điện tử, chẳng hạn như trình theo dõi danh mục đầu tư và công cụ nhắn tin, cũng như trò chơi dành cho người lớn, nền tảng sòng bạc và bản sao TikTok giả mạo.
Một ứng dụng bị xâm phạm, SOEX, là một nền tảng nhắn tin có tính năng trao đổi tiền điện tử và đã được tải xuống hơn 10.000 lần trước khi Google xóa nó.
Một loại khác, được gọi là 币coin, đóng vai trò là công cụ theo dõi giá tiền điện tử và được lưu trữ trên App Store của Apple.
Sau khi cài đặt, các ứng dụng này hoạt động như các công cụ thông thường trong khi âm thầm yêu cầu quyền truy cập vào thư viện ảnh.
Sau khi được cấp quyền truy cập, phần mềm độc hại sẽ bắt đầu quét để tìm cụm từ khôi phục ví tiềm năng được ẩn trong ảnh chụp màn hình hoặc ghi chú viết tay.
Trên các thiết bị Android, phần mềm độc hại sử dụng các thư viện Java đã sửa đổi cùng với Bộ công cụ ML của Google để xác định cụm từ hạt giống thông qua nhận dạng ký tự quang học (OCR).
Trên iOS, kẻ tấn công đã nhúng một lớp ẩn vào các khuôn khổ mạng như AFNetworking hoặc Alamofire.
Lớp này tự động kích hoạt khi khởi chạy bằng phương thức +load của Objective-C, kiểm tra thiết lập cấu hình, sau đó kết nối với máy chủ chỉ huy và điều khiển (C2) để nhận hướng dẫn.
Những hình ảnh bị đánh cắp được gửi đến các máy chủ bên ngoài thông qua các phương thức liên lạc được mã hóa, với các biến thể phần mềm độc hại sử dụng các thư viện OpenSSL giả mạo và các đường dẫn được che giấu như `/api/putImages` và `/api/getImageStatus`.
Phiên bản iOS vượt qua những hạn chế thông thường bằng cách lạm dụng hệ thống cung cấp doanh nghiệp của Apple.
Các nạn nhân bị lừa tin tưởng vào chứng chỉ nhà phát triển có liên kết với “SINOPEC SABIC Tianjin Petrochemical Co. Ltd.”
Sau khi được cài đặt, phần mềm độc hại này sẽ hoạt động với quyền truy cập gần như ở cấp độ hệ thống, cho phép quét ảnh mà không cần cảnh báo người dùng.
Các nhà nghiên cứu của Kaspersky lưu ý rằng chiến thuật này khiến việc phát hiện trở nên khó khăn hơn so với các mối đe dọa thông thường.
Các nhà phân tích của Kaspersky Sergey Puzan và Dmitry Kalinin đã viết,
“Mặc dù chúng tôi nghi ngờ mục tiêu chính của kẻ tấn công là tìm ảnh chụp màn hình cụm từ hạt giống của ví tiền điện tử, nhưng dữ liệu nhạy cảm khác cũng có thể có trong các hình ảnh bị đánh cắp.”
SparkKitty dường như là phiên bản cải tiến của SparkCat, một phần mềm độc hại đầu tiên được phát hiện vào tháng 1 năm 2025, cũng nhắm mục tiêu vào các thư viện ảnh để trích xuất cụm từ hạt giống.
Cả hai chủng đều có điểm tương đồng về mã, ký hiệu gỡ lỗi và kỹ thuật lây nhiễm.
Hình ảnh dịch của quy trình SparkCat (Nguồn:X )
Tuy nhiên, SparkKitty lại có tham vọng lớn hơn khi tải lên toàn bộ thư viện ảnh thay vì quét cục bộ.
Trong khi SparkCat chủ yếu hoạt động thông qua các bản tải xuống Android không chính thức, SparkKitty đã xâm nhập được vào các cửa hàng ứng dụng chính thức, làm tăng đáng kể nguy cơ lây nhiễm cho người dùng thông thường.
Chiến dịch phần mềm độc hại này làm nổi bật mối nguy hiểm đang diễn ra đối với những người nắm giữ tiền điện tử.
Cụm từ hạt giống — chìa khóa khôi phục ví tiền điện tử — vẫn được tội phạm mạng săn đón vì liên kết trực tiếp đến tiền của người dùng.
Theo báo cáo năm 2024 của TRM Labs, hơn 70% trong số 2,2 tỷ đô la tiền điện tử bị đánh cắp năm ngoái bắt nguồn từ việc xâm phạm khóa riêng tư và cụm từ hạt giống. SparkKitty phù hợp trực tiếp với mô hình này.
Mặc dù đã xóa một số ứng dụng bị nhiễm, Kaspersky cảnh báo rằng chiến dịch SparkKitty vẫn có thể hoạt động thông qua các phiên bản tải về và cửa hàng sao chép, không có giới hạn cụ thể theo khu vực.
Puzan và Kalinin nói,
"Mặc dù không phức tạp về mặt kỹ thuật hoặc khái niệm, chiến dịch này đã diễn ra ít nhất từ đầu năm 2024 và gây ra mối đe dọa đáng kể cho người dùng."
Cảnh sát Pháp đã buộc tội 25 thanh niên về một loạt các vụ bắt cóc nhằm vào các giám đốc điều hành tiền điện tử và gia đình của họ. Một số vụ tấn công có liên quan, với nghi phạm nhằm mục đích đánh cắp thông tin chi tiết về ví thông qua các mối đe dọa và bạo lực.
AnaisCác ứng cử viên tổng thống hàng đầu của Hàn Quốc ủng hộ đổi mới tiền điện tử, ngay cả khi đất nước thắt chặt các quy định về sàn giao dịch. Các quan chức cũng đang cân nhắc một loại tiền ổn định do nhà nước hậu thuẫn, báo hiệu sự tham gia sâu hơn của chính phủ vào tài chính kỹ thuật số.
KikyoSEC nêu lên những lo ngại về mặt pháp lý đối với các ETF Ethereum và Solana mới bao gồm phần thưởng staking, nói rằng chúng có thể không đủ điều kiện theo các quy tắc đầu tư hiện hành. REX và Osprey phải giải quyết những vấn đề này trước khi các quỹ có thể ra mắt.
AnaisCác hãng thu âm lớn đang đàm phán với các công ty khởi nghiệp AI như Suno và Udio để thiết lập các điều khoản chia sẻ doanh thu và thù lao cho nghệ sĩ khi âm nhạc được sử dụng để đào tạo hoặc tạo nội dung AI. Mục tiêu: bảo vệ danh mục của họ trong khi đảm bảo AI hỗ trợ chứ không phải khai thác người sáng tạo.
CatherineChính quyền Đài Loan và Hoa Kỳ đang tịch thu hàng triệu tài sản kỹ thuật số và bất động sản có liên quan đến một người đàn ông điều hành một thị trường ma túy dark web trị giá 100 triệu đô la. Việc tuyên án của anh ta đã bị hoãn lại vì anh ta hợp tác với các công tố viên bằng cách cung cấp thông tin quan trọng.
AnaisMetaplanet đã mua thêm 1.088 bitcoin, nâng tổng số lên 8.888 BTC khi tiến gần hơn đến mục tiêu 10.000 BTC. Cổ phiếu của công ty đã tăng gần 10% sau tin tức này và tiếp tục tài trợ cho các giao dịch mua thông qua trái phiếu không lãi suất.
WeatherlyTether đã ra mắt đồng tiền ổn định được hỗ trợ bằng vàng, XAUt0, trên blockchain TON. Sử dụng tiêu chuẩn Omnichain, nó cho phép chuyển tiền xuyên chuỗi và nhằm mục đích cạnh tranh với các khoản đầu tư vàng truyền thống và các tài sản vàng được mã hóa khác—kết nối tài sản vật chất với DeFi.
CatherineBitoPro có khả năng đã bị tấn công lớn nhưng vẫn giữ im lặng trong hơn ba tuần, không nói về hoạt động đáng ngờ. Người dùng vẫn báo cáo "tiền bị kẹt", làm dấy lên lo ngại rằng sàn giao dịch hy vọng vụ vi phạm sẽ không bị phát hiện.
KikyoEthereum Foundation đã tái cấu trúc nhóm cốt lõi của mình, đóng cửa đơn vị PR&D và thành lập một nhóm mới có tên là “Protocol” để tập trung vào việc mở rộng quy mô và trải nghiệm người dùng. Một số nhân viên đã bị sa thải như một phần của những thay đổi và hiện tại, quyền lãnh đạo được chia sẻ theo một thiết lập mới để cải thiện sự tập trung và phối hợp.
WeatherlyReitar Logtech, một công ty công nghệ hậu cần có trụ sở tại Hồng Kông, có kế hoạch đầu tư tới 1,5 tỷ đô la vào Bitcoin để hỗ trợ tăng trưởng toàn cầu và cơ sở hạ tầng kỹ thuật số. Một hồ sơ của SEC nêu Bitcoin vừa là dự trữ tài chính vừa là tài sản chiến lược trong bối cảnh điều kiện thị trường thay đổi.
Catherine