English
Français
Português
Indonesia
Tagalog
Malaysia
हिन्दी
বাংলা
中文 (中国)
Kaspersky đã cảnh báo về một phần mềm độc hại mới được phát hiện có tên SparkCat, nhắm vào khóa riêng tư và cụm từ khôi phục ví tiền điện tử trên cả thiết bị Android và iOS. Phần mềm độc hại này đã được tải xuống hơn 200.000 lần và đang lây lan qua các ứng dụng có vẻ vô hại nhưng lại chứa bộ công cụ phát triển phần mềm độc hại (SDK). Các ứng dụng bị nhiễm này, chẳng hạn như ứng dụng giao đồ ăn và ứng dụng nhắn tin hỗ trợ AI, đều có trên Google Play và App Store.
SparkCat hoạt động như thế nào : SparkCat được trang bị công nghệ Nhận dạng ký tự quang học (OCR), cho phép quét thư viện ảnh của nạn nhân để tìm cụm từ khôi phục ví tiền điện tử. Những cụm từ này thường được lưu trữ trong ảnh chụp màn hình hoặc ghi chú đã lưu và phần mềm độc hại sẽ tìm kiếm các từ khóa cụ thể liên quan đến những cụm từ này.
Sau đây là phân tích về cách phần mềm độc hại hoạt động trên cả hai nền tảng:
- Trên Android: SparkCat được đưa vào thông qua SDK dựa trên Java có tên là Spark, hoạt động như một mô-đun phân tích. Khi một ứng dụng bị nhiễm được khởi chạy, Spark sẽ lấy một tệp cấu hình được mã hóa từ kho lưu trữ GitLab từ xa. Sau đó, nó sử dụng công cụ OCR của Google ML Kit để quét hình ảnh trong thư viện của thiết bị để tìm cụm từ khôi phục ví bằng nhiều ngôn ngữ khác nhau, bao gồm tiếng Anh, tiếng Trung, tiếng Hàn, tiếng Nhật và các ngôn ngữ châu Âu khác. Dữ liệu bị đánh cắp sau đó được tải lên máy chủ do kẻ tấn công kiểm soát, thường sử dụng dịch vụ lưu trữ đám mây của Amazon hoặc giao thức dựa trên Rust, giúp mã hóa dữ liệu và gây khó khăn cho việc phát hiện.
- Trên iOS: Phiên bản iOS hoạt động thông qua một khuôn khổ độc hại được nhúng trong các ứng dụng, được ngụy trang dưới những cái tên như GZIP, googleappsdk hoặc stat. Khung này tích hợp với Google ML Kit để trích xuất văn bản từ hình ảnh trong thư viện. Để tránh nghi ngờ, ứng dụng chỉ yêu cầu quyền truy cập thư viện khi người dùng thực hiện các hành động cụ thể, chẳng hạn như mở cuộc trò chuyện hỗ trợ.
Rủi ro bổ sung : Tính linh hoạt của phần mềm độc hại có nghĩa là nó có thể đánh cắp nhiều thứ hơn là chỉ thông tin ví tiền điện tử. Nó cũng có thể xâm phạm mật khẩu, tin nhắn và dữ liệu nhạy cảm khác được lưu trữ trong ảnh chụp màn hình.
Tác động về mặt địa lý : Kaspersky ước tính SparkCat đã lây nhiễm hơn 242.000 thiết bị, chủ yếu ở châu Âu và châu Á. Mặc dù nguồn gốc chính xác vẫn chưa rõ ràng, nhưng các bình luận nhúng trong mã cho thấy các nhà phát triển có thể thông thạo tiếng Trung.
Người dùng nên làm gì : Kaspersky khuyến cáo người dùng tránh lưu trữ thông tin quan trọng như cụm từ hạt giống, khóa riêng và mật khẩu trong ảnh chụp màn hình. Người dùng cũng nên thận trọng khi tải xuống ứng dụng từ các nguồn không chính thức, vì các chiến dịch phần mềm độc hại nhắm vào người dùng tiền điện tử vẫn là mối đe dọa nghiêm trọng.
Đây không phải là lần đầu tiên cộng đồng tiền điện tử phải đối mặt với những cuộc tấn công tinh vi như vậy. Vào tháng 9 năm 2024, Binance đã đánh dấu phần mềm độc hại Clipper, phần mềm này đã thay thế các địa chỉ ví được sao chép vào bảng tạm bằng các địa chỉ do kẻ tấn công kiểm soát. Những mối đe dọa như vậy đã góp phần gây ra một số tổn thất đáng kể nhất trong lĩnh vực tiền điện tử do tình trạng trộm cắp khóa riêng tư.
SparkCat nêu bật rủi ro đang diễn ra do các tác nhân độc hại trong hệ sinh thái tiền điện tử gây ra. Người dùng cần phải thực hiện các biện pháp phòng ngừa bổ sung, chẳng hạn như tránh lưu trữ thông tin nhạy cảm ở những nơi dễ truy cập như ảnh chụp màn hình và luôn cảnh giác khi sử dụng ứng dụng di động.
