Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch phần mềm độc hại tinh vi đã thành công vượt qua các biện pháp bảo mật trên cả hai cửa hàng ứng dụng di động lớn để nhắm mục tiêu người dùng tiền điện tử. Mối đe dọa này cho thấy cách thức các kẻ tấn công đang phát triển chiến thuật của họ để khai thác các hành vi phổ biến của người dùng trong không gian tài sản số.
Công nghệ phân tích ảnh chụp màn hình tiên tiến
SparkKitty đại diện cho thế hệ mới của phần mềm độc hại di động tận dụng công nghệ nhận dạng ký tự quang học (OCR) để tự động quét thư viện ảnh của người dùng. Các nhà nghiên cứu Kaspersky lần đầu tiên xác định mối đe dọa này vào tháng 1 năm 2025, tiết lộ trọng tâm chính của nó là thu thập các cụm từ khôi phục ví tiền điện tử. Phần mềm độc hại đặc biệt nhắm mục tiêu các cụm từ hạt giống mà người dùng thường chụp màn hình thay vì viết ra một cách an toàn, khai thác một thực hành bảo mật phổ biến trong số những người đam mê tiền điện tử.
Chi tiết chính về Malware SparkKitty:
- Ngày phát hiện: Tháng 1/2025 bởi Kaspersky
- Thời gian phân phối hoạt động: Tháng 2/2024 - Hiện tại
- Nền tảng bị ảnh hưởng: iOS và Android
- Kênh phân phối: Google Play Store , Apple App Store , các nguồn không chính thức
- Dữ liệu mục tiêu: Cụm từ khôi phục ví tiền điện tử, ảnh chụp màn hình tài chính
- Công nghệ sử dụng: Nhận dạng ký tự quang học (OCR)
Phân phối rộng rãi thông qua các kênh chính thức
Chiến dịch phần mềm độc hại đạt được phạm vi tiếp cận đáng kể bằng cách phân phối các ứng dụng bị nhiễm thông qua cả Google Play Store và Apple App Store kể từ tháng 2 năm 2024. Một ví dụ đặc biệt thành công là ứng dụng SOEX , đã ngụy trang như một nền tảng nhắn tin với các tính năng giao dịch tiền điện tử và tích lũy hơn 10.000 lượt tải xuống trước khi bị phát hiện. Các ứng dụng bị nhiễm trải rộng trên nhiều danh mục khác nhau bao gồm ứng dụng nhắn tin, nền tảng giao dịch tiền điện tử, bản sao TikTok đã chỉnh sửa, ứng dụng cờ bạc và trò chơi có chủ đề người lớn, khiến việc phát hiện trở nên khó khăn hơn cho cả người dùng và hệ thống bảo mật tự động.
Các Ứng Dụng Bị Nhiễm Đáng Chú Ý:
- SOEX App : Ứng dụng nhắn tin với tính năng giao dịch tiền mã hóa (hơn 10.000 lượt tải xuống)
- Các Danh Mục Khác: Các bản sao chỉnh sửa của TikTok, ứng dụng cờ bạc, game người lớn, cửa hàng tiền mã hóa giả mạo
- Tình Trạng Hiện Tại: Đã bị gỡ bỏ khỏi các cửa hàng ứng dụng chính thức
Hoạt động thu thập dữ liệu tinh vi
Sau khi được cài đặt, SparkKitty yêu cầu quyền truy cập vào thư viện ảnh của thiết bị trên cả nền tảng iOS và Android . Phần mềm độc hại hoạt động với hai chế độ riêng biệt: phiên bản toàn diện sao chép tất cả hình ảnh từ thư viện thiết bị, và biến thể có mục tiêu sử dụng OCR đặc biệt để xác định thông tin tài chính trong ảnh chụp màn hình. Hệ thống liên tục giám sát các thay đổi đối với thư viện hình ảnh, tự động quét các ảnh mới khi chúng được thêm vào hoặc khi hình ảnh hiện có bị chỉnh sửa.
Tác động bảo mật vượt ra ngoài tiền điện tử
Trong khi trọng tâm chính vẫn là các cụm từ hạt giống ví tiền điện tử, các chuyên gia bảo mật cảnh báo rằng khả năng của phần mềm độc hại mở rộng đến bất kỳ thông tin nhạy cảm nào được lưu trữ trong ảnh chụp màn hình. Điều này bao gồm tài liệu nhận dạng, mật khẩu, mã sao lưu xác thực hai yếu tố và dữ liệu bí mật khác mà người dùng thường chụp và lưu trữ trên thiết bị của họ. Khả năng tống tiền bằng cách sử dụng hình ảnh cá nhân bị xâm phạm đại diện cho một vector đe dọa bổ sung, mặc dù các nhà nghiên cứu chưa ghi nhận các hoạt động như vậy.
Khuyến nghị bảo vệ:
- Xem xét và thu hồi các quyền truy cập không cần thiết của ứng dụng đối với ảnh/camera
- Tránh lưu trữ thông tin nhạy cảm trong ảnh chụp màn hình
- Sử dụng trình quản lý mật khẩu được mã hóa cho các cụm từ khôi phục
- Xác minh nhà phát triển ứng dụng và đọc đánh giá trước khi tải xuống
- Theo dõi các ứng dụng yêu cầu quyền truy cập quá mức hoặc quyền truy cập hồ sơ cấu hình
Chiến lược bảo vệ và thực hành tốt nhất
Các chuyên gia bảo mật khuyến nghị một số biện pháp phòng thủ để bảo vệ chống lại SparkKitty và các mối đe dọa tương tự. Người dùng nên thường xuyên kiểm tra quyền ứng dụng, loại bỏ quyền truy cập vào ảnh, camera và lưu trữ cho các ứng dụng không yêu cầu những chức năng này. Cài đặt ứng dụng độc quyền từ các cửa hàng ứng dụng chính thức cung cấp một số bảo vệ, mặc dù sự cố này cho thấy phần mềm độc hại vẫn có thể xâm nhập vào các nền tảng này. Quan trọng nhất, người dùng nên tránh lưu trữ thông tin nhạy cảm trong ảnh chụp màn hình, thay vào đó sử dụng trình quản lý mật khẩu được mã hóa hoặc các giải pháp lưu trữ đám mây an toàn cho các cụm từ khôi phục quan trọng và dữ liệu bí mật.