Kaspersky vừa phát cảnh báo về một bộ công cụ phát triển phần mềm (SDK) độc hại được cài cắm trong các ứng dụng Android và iOS, nhắm đến việc đánh cắp ví tiền mã hóa.
Theo báo cáo công bố ngày 4/2, các nhà nghiên cứu của Kaspersky Labs đã phát hiện chiến dịch tấn công nhắm vào thiết bị di động thông qua SDK chứa mã độc SparkCat. Loại mã độc này có khả năng quét hình ảnh được lưu trên thiết bị để tìm kiếm cụm từ khôi phục ví tiền mã hóa, từ đó cho phép kẻ tấn công chiếm đoạt toàn bộ tài sản kỹ thuật số của nạn nhân.
Mã độc hoạt động bằng cách sử dụng công nghệ nhận diện ký tự quang học (OCR) để trích xuất thông tin từ ảnh chụp màn hình, tin nhắn chứa mật khẩu hoặc bất kỳ dữ liệu nhạy cảm nào có thể hiển thị trên hình ảnh. Đáng lo ngại, SparkCat đã được nhúng vào hàng chục ứng dụng trên cả Google Play Store và Apple App Store, bao gồm các ứng dụng hợp pháp lẫn các phần mềm giả mạo được thiết kế nhằm mục đích lừa đảo.
Một điểm đặc biệt của các ứng dụng chứa mã độc này là việc sử dụng ngôn ngữ lập trình Rust—một lựa chọn hiếm gặp trên nền tảng di động. Rust giúp các ứng dụng hoạt động đa nền tảng và hỗ trợ kỹ thuật làm xáo trộn mã nguồn để tránh bị phát hiện. Điều này khiến việc nhận diện và ngăn chặn SparkCat trở nên phức tạp hơn.
Sergey Puzan và Dmitry Kalinin, hai chuyên gia bảo mật của Kaspersky, nhấn mạnh rằng SparkCat được ngụy trang dưới dạng mô-đun phân tích dữ liệu, đồng thời lợi dụng một tập tin cấu hình được mã hóa trên GitLab để nhận lệnh và cập nhật cơ chế tấn công. Việc đánh cắp cụm từ khôi phục đồng nghĩa với việc kẻ tấn công có toàn quyền kiểm soát ví tiền mã hóa của nạn nhân.
Nguồn gốc chính xác của chiến dịch này vẫn chưa được xác định, song các nhà nghiên cứu đã phát hiện nhiều dòng bình luận và mô tả lỗi trong mã nguồn được viết bằng tiếng Trung, làm dấy lên nghi vấn về sự liên quan của nhóm phát triển mã độc đến cộng đồng sử dụng ngôn ngữ này. Tuy nhiên, cả Google và Apple hiện chưa đưa ra bất kỳ phản hồi chính thức nào về vụ việc.
Trước nguy cơ gia tăng của các cuộc tấn công nhắm vào ví tiền mã hóa, Kaspersky khuyến cáo người dùng không nên lưu trữ cụm từ khôi phục hoặc mật khẩu trong thư viện ảnh, thay vào đó nên sử dụng trình quản lý mật khẩu chuyên dụng. Đồng thời, người dùng cần chủ động gỡ bỏ các ứng dụng có dấu hiệu bất thường và thường xuyên cập nhật phần mềm bảo mật trên thiết bị của mình.
