(vfo.vn) Thời gian vừa qua, Kaspersky đã phát hiện Trojan đánh cắp dữ liệu mới, với tên gọi SparkCat, hoạt động trên App Store và Google Play ít nhất từ tháng 03/2024. Đây là trường hợp đầu tiên được ghi nhận về malware (phần mềm độc hại) dựa trên nhận dạng quang học xuất hiện trên App Store. SparkCat sử dụng công nghệ học máy (Machine Learning) để quét thư viện ảnh và đánh cắp ảnh chụp màn hình chứa các cụm từ khôi phục ví tiền điện tử. SparkCat cũng có thể tìm và trích xuất dữ liệu nhạy cảm khác trong hình ảnh, chẳng hạn như mật khẩu.
Malware không chỉ ẩn mình trong các ứng dụng hợp pháp bị nhiễm sẵn mã độc, mà còn trong các ứng dụng mồi nhử (lures) - như ứng dụng nhắn tin, trợ lý AI, giao đồ ăn, ứng dụng liên quan đến tiền điện tử, v.v. Một số ứng dụng có thể được tải về từ các nền tảng chính thức trên Google Play và App Store. Dữ liệu đo từ xa của Kaspersky cũng cho thấy các phiên bản ứng dụng bị nhiễm malware còn được phân phối thông qua các nguồn không chính thức khác. Trên Google Play, các ứng dụng này đã được tải xuống hơn 242.000 lần.
Malware chủ yếu nhắm vào người dùng ở UAE và các quốc gia ở châu Âu và châu Á. Đây là kết luận của các chuyên gia dựa trên những thông tin về khu vực hoạt động của các ứng dụng bị nhiễm mã độc và phân tích kỹ thuật về malware. Theo đó, SparkCat quét thư viện ảnh để tìm các từ khóa bằng nhiều ngôn ngữ, bao gồm tiếng Trung, Nhật, Hàn, Anh, Séc, Pháp, Ý, Ba Lan và Bồ Đào Nha. Tuy nhiên, các chuyên gia tin rằng nạn nhân cũng có thể đến từ các quốc gia khác.
Sau khi được cài đặt trên thiết bị, phần mềm độc hại này sẽ yêu cầu quyền truy cập vào thư viện ảnh người dùng để xem hết toàn bộ hình ảnh. Sau đó, malware này sẽ sẽ sử dụng một mô-đun nhận dạng ký tự quang học (OCR) để phân tích văn bản, ký tự trong hình ảnh. Nếu trình đánh cắp phát hiện các từ khóa liên quan, SparkCat sẽ gửi hình ảnh đến kẻ tấn công. Mục tiêu chính của hacker là tìm các cụm từ khôi phục cho ví tiền điện tử. Với thông tin này, kẻ xấu có thể chiếm đoạt toàn quyền kiểm soát ví điện tử của nạn nhân và đánh cắp tiền. Ngoài việc đánh cắp các cụm từ khôi phục, malware này còn có khả năng trích xuất các thông tin cá nhân khác từ ảnh chụp màn hình, chẳng hạn như tin nhắn và mật khẩu.
Khi phân tích các phiên bản trên Android của malware, các chuyên gia của Kaspersky đã tìm thấy các bình luận trong malware được viết bằng tiếng Trung. Thêm vào đó, phiên bản iOS chứa tên thư mục gốc của nhà phát triển, "qiongwu" và "quiwengjing", cho thấy những kẻ xấu đứng sau chiến dịch tấn công này thông thạo tiếng Trung. Tuy nhiên, hiện không có đủ bằng chứng để quy kết chiến dịch do nhóm tội phạm mạng nào khởi xướng.
Để tránh trở thành nạn nhân của malware này, Kaspersky khuyến nghị các biện pháp an toàn sau:
- Nếu bạn đã cài đặt một trong các ứng dụng bị nhiễm mã độc, hãy xóa ngay khỏi thiết bị và không sử dụng lại cho đến khi có bản cập nhật mới khắc phục vấn đề.
- Tránh lưu trữ ảnh chụp màn hình chứa thông tin nhạy cảm trong thư viện ảnh, bao gồm cụm từ khôi phục ví tiền điện tử. Mật khẩu nên được lưu trữ trong các ứng dụng bảo mật chuyên dụng.
- Sử dụng phần mềm bảo mật đáng tin cậy để ngăn chặn nguy cơ nhiễm malware.
