Bởi (MobileWorld.vn) – Trung tâm Nghiên cứu Nguy cơ An ninh mạng của Kaspersky đã phát hiện một Trojan đánh cắp dữ liệu mới, với tên gọi SparkCat, hoạt động trên App Store và Google Play ít nhất từ tháng 3 năm 2024. Đây là trường hợp đầu tiên được ghi nhận về malware (phần mềm độc hại) dựa trên nhận dạng quang học xuất hiện trên App Store. SparkCat sử dụng công nghệ học máy (Machine Learning) để quét thư viện ảnh và đánh cắp ảnh chụp màn hình chứa các cụm từ khôi phục ví tiền điện tử. SparkCat cũng có thể tìm và trích xuất dữ liệu nhạy cảm khác trong hình ảnh, chẳng hạn như mật khẩu.
Các ứng dụng bị nhiễm mã độc này được thiết kế nhằm tìm kiếm cụm từ khôi phục ví tiền điện tử, cho phép tin tặc đánh cắp Bitcoin và các loại tiền mã hóa khác. Theo báo cáo, các ứng dụng này chứa một module độc hại, sử dụng plugin OCR từ thư viện Google ML Kit để nhận diện văn bản bên trong ảnh được lưu trên iPhone. Khi phát hiện một ảnh có chứa thông tin ví tiền điện tử, ứng dụng sẽ gửi dữ liệu đó về máy chủ của kẻ tấn công.
Kaspersky cho biết SparkCat đã hoạt động từ khoảng tháng 3/2024. Trước đó, những mã độc tương tự đã xuất hiện trên Android và PC vào năm 2023, nhưng đây là lần đầu tiên malware kiểu này lan sang iOS. Một số ứng dụng có chứa mã độc OCR đã được phát hiện trên App Store, bao gồm ComeCome, WeTink và AnyGPT. Tuy nhiên, Kaspersky chưa thể xác định đây có phải hành động có chủ đích từ các nhà phát triển, hay là hệ quả của một cuộc tấn công chuỗi cung ứng.
Sau khi người dùng tải xuống, những ứng dụng này yêu cầu quyền truy cập vào thư viện ảnh. Nếu người dùng cấp quyền, ứng dụng sẽ dùng OCR để quét tất cả ảnh nhằm tìm kiếm văn bản liên quan đến ví tiền điện tử. Hiện tại, một số ứng dụng này vẫn chưa bị gỡ khỏi App Store, và dường như đang nhắm mục tiêu vào người dùng iOS tại châu Âu và châu Á.
Ông Sergey Puzan, Chuyên gia phân tích phần mềm độc hại tại Kaspersky, cho biết: “Đây là lần đầu tiên chúng tôi phát hiện một Trojan sử dụng công nghệ nhận dạng ký tự quang học (OCR) xâm nhập vào hệ thống App Store. Hiện tại, chúng tôi vẫn chưa rõ cách thức các ứng dụng nhiễm mã độc vượt qua các vòng kiểm tra của App Store và Google Play để đến tay người dùng cuối, hoặc liệu có phương thức khác để chứng minh đây là những ứng dụng đáng tin cậy. Một số ứng dụng, như ứng dụng giao đồ ăn, trông giống như một ứng dụng hợp pháp với những thiết kế mô phỏng giao diện và chức năng của ứng dụng phổ biến, trong khi những ứng dụng mồi nhử lại có những yếu tố rõ rệt, chứng minh chúng được thiết kế với mục đích lừa đảo.”
Dù mục tiêu chính của các ứng dụng này là đánh cắp dữ liệu ví tiền mã hóa, nhưng Kaspersky cảnh báo rằng SparkCat có thể được điều chỉnh để thu thập các dữ liệu khác, như mật khẩu, thông tin cá nhân từ ảnh chụp màn hình. Không chỉ iOS, nhiều ứng dụng trên Google Play Store dành cho Android cũng đã bị nhiễm mã độc này.
Apple có quy trình kiểm duyệt nghiêm ngặt với mọi ứng dụng trên App Store, vì vậy sự xuất hiện của một ứng dụng độc hại đánh dấu một lỗ hổng trong cơ chế kiểm duyệt của Apple. Trong trường hợp này, mã độc không có dấu hiệu rõ ràng của trojan, và các quyền mà ứng dụng yêu cầu vẫn phù hợp với chức năng chính, khiến nó dễ dàng vượt qua vòng kiểm duyệt.
Kaspersky khuyến cáo người dùng không nên lưu trữ ảnh chụp màn hình chứa thông tin nhạy cảm, đặc biệt là cụm từ khôi phục ví tiền điện tử trong thư viện ảnh của thiết bị, để tránh bị mã độc khai thác.
