Kaspersky cảnh báo người dùng về phần mềm độc hại “SparkCat” nhắm vào ví tiền điện tử của người dùng Android và IOS

Các nhà nghiên cứu của Kaspersky đã xác định được một chiến dịch phần mềm độc hại đa nền tảng có tên “SparkCat”, nhắm vào các cụm từ khôi phục ví tiền điện tử bằng cách nhúng bộ công cụ phát triển phần mềm độc hại (SDK) vào các ứng dụng di động đã sửa đổi.

Theo báo cáo, phần mềm độc hại này sẽ quét thư viện ảnh của người dùng để tìm dữ liệu nhạy cảm, một kỹ thuật được phát hiện lần đầu tiên vào tháng 3 năm 2023.

Ban đầu, các chuyên gia an ninh mạng đã tìm thấy các ứng dụng nhắn tin có chứa phần mềm độc hại trích xuất ký ức ví tiền điện tử và truyền chúng đến các máy chủ từ xa. Vào thời điểm đó, cuộc tấn công chỉ giới hạn ở người dùng Android và Windows tải xuống ứng dụng từ các nguồn không chính thức.

Tuy nhiên, chiến dịch SparkCat, được phát hiện vào cuối năm 2024, đã mở rộng phạm vi của nó. Phiên bản mới tích hợp SDK độc hại vào các ứng dụng có sẵn trên cả thị trường chính thức và không chính thức cho thiết bị Android và iOS.

Khi được kích hoạt, SparkCat sử dụng công cụ OCR của Google ML Kit để quét thư viện ảnh của thiết bị và tìm kiếm các từ khóa cụ thể liên quan đến cụm từ khôi phục ví tiền điện tử bằng nhiều ngôn ngữ, bao gồm tiếng Anh, tiếng Trung, tiếng Hàn, tiếng Nhật và một số ngôn ngữ châu Âu.

Sau đó, phần mềm độc hại sẽ tải hình ảnh lên máy chủ do kẻ tấn công kiểm soát, thông qua bộ lưu trữ đám mây của Amazon hoặc giao thức dựa trên Rust, điều này làm tăng thêm độ phức tạp trong việc theo dõi hoạt động của phần mềm độc hại do dữ liệu được mã hóa và phương thức giao tiếp không chuẩn.

Trên IOS, SparkCat hoạt động thông qua một khuôn khổ độc hại được nhúng trong ứng dụng bị nhiễm, cho phép vi-rút ngụy trang dưới những cái tên như GZIP, Googleappsdk hoặc stat.

Khung này được viết bằng Objective-C và được tối giản hóa bằng HikariLLV, tích hợp với Google ML Kit để trích xuất văn bản từ hình ảnh trong thư viện.

Rõ ràng, phần mềm độc hại này cũng có khả năng đánh cắp các dữ liệu nhạy cảm khác như nội dung tin nhắn hoặc mật khẩu có thể lưu trên ảnh chụp màn hình.

Kaspersky ước tính rằng hơn 242.000 thiết bị trên khắp Châu Á và Châu Âu đã bị nhiễm phần mềm độc hại. Mặc dù nguồn chính xác của phần mềm độc hại vẫn chưa được biết, nhưng các bình luận nhúng trong mã và thông báo lỗi cho thấy rằng những người phát triển phần mềm độc hại đến từ một quốc gia nói tiếng Trung Quốc.

Các nhà nghiên cứu tại Kaspersky khuyến cáo người dùng tránh lưu trữ thông tin quan trọng như cụm từ được khâu lại, khóa riêng tư và mật khẩu trong ảnh chụp màn hình.

Phần mềm độc hại tinh vi vẫn là mối đe dọa thường trực trong không gian tiền điện tử và đây không phải là lần đầu tiên những kẻ xấu tìm cách vượt qua các biện pháp bảo mật cửa hàng của Google và Apple.