Một phần mềm độc hại mới đã xâm nhập vào các ứng dụng di động phổ biến để đánh cắp khóa riêng tư của ví tiền mã hóa và đã được tải xuống hơn 200.000 lần.
SparkCat, một malware nhắm vào cả người dùng Android và iOS, lây lan thông qua các bộ công cụ phát triển phần mềm (SDK) độc hại được nhúng trong các ứng dụng tưởng chừng vô hại, theo cảnh báo của công ty an ninh mạng Kaspersky trong báo cáo ngày 4/2.
Malware này sử dụng công nghệ nhận dạng ký tự quang học (OCR) để quét thư viện ảnh của nạn nhân, tìm kiếm các cụm từ khôi phục ví tiền mã hóa ẩn trong ảnh chụp màn hình hoặc ghi chú lưu trữ.
SparkCat đã hoạt động từ tháng 3/2024 và một số ứng dụng bị nhiễm, bao gồm ứng dụng giao đồ ăn và ứng dụng nhắn tin AI, từng xuất hiện trên Google Play và App Store. Đây cũng là trường hợp đầu tiên một mã độc đánh cắp dữ liệu bằng OCR được phát hiện trên nền tảng của Apple.
SparkCat hoạt động như thế nào?
Trên Android, mã độc được tiêm vào thông qua một SDK dựa trên Java có tên Spark, giả dạng như một module phân tích dữ liệu. Khi ứng dụng bị nhiễm được mở, Spark sẽ tải xuống một tập tin cấu hình mã hóa từ kho GitLab từ xa.
Sau khi kích hoạt, SparkCat sử dụng công cụ OCR của Google ML Kit để quét thư viện ảnh trên thiết bị. Nó tìm kiếm các từ khóa liên quan đến cụm từ khôi phục ví tiền mã hóa bằng nhiều ngôn ngữ, bao gồm tiếng Anh, Trung Quốc, Hàn Quốc, Nhật Bản và một số ngôn ngữ châu Âu.
Malware sau đó tải ảnh lên một máy chủ do kẻ tấn công kiểm soát, thông qua dịch vụ lưu trữ đám mây Amazon hoặc giao thức dựa trên Rust, khiến việc theo dõi hoạt động của nó trở nên phức tạp hơn do dữ liệu được mã hóa và sử dụng phương thức liên lạc phi tiêu chuẩn.
Trên iOS, SparkCat hoạt động thông qua một framework độc hại nhúng trong ứng dụng bị nhiễm, ẩn dưới các tên như GZIP, googleappsdk hoặc stat. Framework này, được viết bằng Objective-C và làm rối mã bằng HikariLLVM, tích hợp với Google ML Kit để trích xuất văn bản từ ảnh trong thư viện.
Để tránh bị phát hiện, phiên bản iOS chỉ yêu cầu quyền truy cập thư viện ảnh khi người dùng thực hiện các thao tác cụ thể, chẳng hạn như mở cửa sổ trò chuyện hỗ trợ.
Báo cáo cũng cảnh báo rằng “tính linh hoạt của malware” có thể cho phép nó đánh cắp các dữ liệu nhạy cảm khác như “nội dung tin nhắn hoặc mật khẩu có thể còn lưu trong ảnh chụp màn hình.”
Hàng trăm nghìn người dùng có nguy cơ
Kaspersky ước tính malware này đã lây nhiễm hơn 242.000 thiết bị trên khắp châu Âu và châu Á. Dù nguồn gốc chính xác chưa được xác định, các bình luận trong mã nguồn và thông báo lỗi cho thấy các nhà phát triển của malware có thể thông thạo tiếng Trung Quốc.
Các nhà nghiên cứu của Kaspersky khuyến cáo người dùng không nên lưu trữ thông tin quan trọng như cụm từ khôi phục, khóa riêng tư và mật khẩu dưới dạng ảnh chụp màn hình.
Các chiến dịch tấn công phần mềm độc hại tinh vi vẫn là một mối đe dọa thường trực trong không gian tiền mã hóa, và đây không phải lần đầu tiên tin tặc qua mặt được các biện pháp bảo mật của Google và Apple.
Vào tháng 9/2024, sàn giao dịch Binance từng cảnh báo về “Clipper malware,” một loại mã độc lây nhiễm vào thiết bị thông qua các ứng dụng và plugin không chính thức. Clipper thay thế địa chỉ ví được sao chép của nạn nhân bằng địa chỉ của kẻ tấn công, khiến họ vô tình chuyển tiền mã hóa đến sai nơi.
Trong khi đó, việc đánh cắp khóa riêng tư vẫn là một trong những nguyên nhân chính gây ra các tổn thất lớn nhất trong ngành tiền mã hóa.
Theo Crypto News
