Kaspersky phát hiện Trojan SparkCat đánh cắp tiền mã hóa trên App Store và Google Play

Kaspersky phát hiện Trojan SparkCat đánh cắp tiền mã hóa trên App Store và Google Play

Trung tâm Nghiên cứu Nguy cơ An ninh mạng của Kaspersky đã phát hiện một Trojan đánh cắp dữ liệu mới mang tên SparkCat. 

Trojan này đã hoạt động trên App Store và Google Play ít nhất từ tháng 3 năm 2024. Đây là lần đầu tiên một phần mềm độc hại dựa trên nhận dạng quang học được ghi nhận xuất hiện trên App Store.

Kaspersky phát hiện Trojan SparkCat đánh cắp tiền mã hóa trên App Store và Google Play

SparkCat sử dụng công nghệ học máy (Machine Learning) để quét thư viện ảnh và đánh cắp ảnh chụp màn hình có chứa cụm từ khôi phục ví tiền điện tử. Ngoài ra, malware này có thể tìm và trích xuất dữ liệu nhạy cảm khác, chẳng hạn như mật khẩu. Kaspersky đã báo cáo các ứng dụng nhiễm mã độc cho Google và Apple.

Cách thức lây lan của SparkCat

Trojan này có thể xuất hiện trong các ứng dụng hợp pháp bị nhiễm sẵn mã độc hoặc trong các ứng dụng mồi nhử (lures) như ứng dụng nhắn tin, trợ lý AI, giao đồ ăn, và ứng dụng liên quan đến tiền điện tử. Một số ứng dụng bị nhiễm có thể tải về từ Google Play và App Store, trong khi những ứng dụng khác được phân phối qua các nguồn không chính thức. Theo dữ liệu đo từ xa của Kaspersky, trên Google Play, các ứng dụng nhiễm malware đã được tải xuống hơn 242.000 lần.

Mục tiêu tấn công của SparkCat

Malware này chủ yếu nhắm vào người dùng ở UAE, châu Âu và châu Á. Dựa trên phân tích về khu vực hoạt động của các ứng dụng bị nhiễm mã độc và đặc điểm kỹ thuật của malware, SparkCat được thiết kế để quét thư viện ảnh tìm các từ khóa bằng nhiều ngôn ngữ, bao gồm tiếng Trung, Nhật, Hàn, Anh, Séc, Pháp, Ý, Ba Lan và Bồ Đào Nha. Tuy nhiên, nạn nhân có thể đến từ nhiều quốc gia khác.

Một số ví dụ về ứng dụng bị nhiễm malware:

  • Ứng dụng giao đồ ăn ComeCome trên iOS, có giao diện và chức năng giống hệt phiên bản gốc trên Android.
  • Một ứng dụng nhắn tin trên App Store, được thiết kế như một ứng dụng mồi nhử.

Cách thức hoạt động của SparkCat

Sau khi được cài đặt trên thiết bị, SparkCat yêu cầu quyền truy cập vào thư viện ảnh của người dùng. Sau đó, nó sử dụng một mô-đun nhận dạng ký tự quang học (OCR) để phân tích văn bản trong hình ảnh. Nếu phát hiện các từ khóa liên quan đến cụm từ khôi phục ví tiền điện tử, malware sẽ gửi hình ảnh này đến kẻ tấn công. Thông tin thu được cho phép hacker chiếm đoạt toàn quyền kiểm soát ví điện tử và đánh cắp tiền của nạn nhân. Ngoài ra, malware còn có thể trích xuất các thông tin cá nhân khác từ ảnh chụp màn hình, bao gồm tin nhắn và mật khẩu.

“Đây là lần đầu tiên chúng tôi phát hiện một Trojan sử dụng công nghệ nhận dạng ký tự quang học (OCR) xâm nhập vào hệ thống App Store,” ông Sergey Puzan, Chuyên gia phân tích phần mềm độc hại tại Kaspersky, cho biết. “Hiện chưa rõ cách thức các ứng dụng nhiễm mã độc vượt qua các vòng kiểm tra của App Store và Google Play, hoặc liệu có phương thức nào khác để chứng minh chúng là những ứng dụng đáng tin cậy.”

Ông Dmitry Kalinin, chuyên gia phân tích phần mềm độc hại tại Kaspersky, bổ sung: “SparkCat có một số đặc điểm khiến nó trở nên nguy hiểm hơn bao giờ hết. Mã độc này ẩn mình trong các ứng dụng chính thức từ cửa hàng ứng dụng, hoạt động mà không để lại dấu hiệu nghi ngờ rõ ràng. Các quyền mà Trojan yêu cầu, chẳng hạn như quyền truy cập thư viện ảnh, khá hợp lý, khiến người dùng dễ dàng chấp nhận mà không nghi ngờ gì.”

Nguồn gốc của SparkCat

Kaspersky phát hiện Trojan SparkCat đánh cắp tiền mã hóa trên App Store và Google Play

Khi phân tích các phiên bản Android của malware, các chuyên gia của Kaspersky đã tìm thấy các bình luận trong mã nguồn được viết bằng tiếng Trung. Phiên bản iOS của malware chứa tên thư mục gốc của nhà phát triển là “qiongwu” và “quiwengjing”, cho thấy những kẻ tấn công có thể thông thạo tiếng Trung. Tuy nhiên, hiện không có đủ bằng chứng để xác định nhóm tội phạm mạng đứng sau chiến dịch này.

Tấn công an ninh mạng sử dụng công nghệ học máy

Tội phạm mạng ngày càng tích hợp mạng nơ-ron nhân tạo (Neural Networks) vào các công cụ tấn công. Trong trường hợp của SparkCat, mô-đun Android sử dụng thư viện Google ML Kit để thực hiện nhận dạng ký tự quang học (OCR) và phân tích hình ảnh trong thư viện ảnh của người dùng. Một phương pháp tương tự cũng được áp dụng trong phiên bản iOS.

Các giải pháp bảo mật của Kaspersky có thể bảo vệ người dùng Android và iOS khỏi SparkCat. Phần mềm độc hại này có thể được phát hiện với các mã nhận diện:

  • HEUR:Trojan.IphoneOS.SparkCat.*
  • HEUR:Trojan.AndroidOS.SparkCat.*

Độc giả có thể tìm đọc báo cáo đầy đủ về chiến dịch malware này trên Securelist.

Khuyến nghị bảo mật từ Kaspersky

Để giảm nguy cơ trở thành nạn nhân của SparkCat, Kaspersky khuyến nghị:

  • Nếu đã cài đặt một trong các ứng dụng bị nhiễm mã độc, hãy xóa ngay và không sử dụng lại cho đến khi có bản cập nhật khắc phục.
  • Tránh lưu trữ ảnh chụp màn hình chứa thông tin nhạy cảm, đặc biệt là cụm từ khôi phục ví tiền điện tử. Mật khẩu nên được lưu trong các ứng dụng bảo mật chuyên dụng như Kaspersky Password Manager.
  • Sử dụng phần mềm bảo mật đáng tin cậy như Kaspersky Premium để ngăn chặn nguy cơ nhiễm malware.

Có thể bạn thích

Internet Thị trường
Vinago trở thành nhà phân phối chính thức của Hiksemi tại Việt Nam

Internet
HTVm tạo dấu ấn trong ngày ra mắt với phiên livestream đột xuất

Internet
AI – “Con dao đa năng Thụy Sĩ” của Grab

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *