Trung tâm chuyên môn Kaspersky Threat Research đã phát hiện ra một Trojan đánh cắp dữ liệu mới tên là SparkCat, hoạt động trong App Store và Google Play ít nhất là từ tháng 3/2024.
Các nhà nghiên cứu Kaspersky mới đây đã phát hiện ra một số phần mềm độc hại được phân phối trên cả cửa hàng ứng dụng Android (Google) và iOS (App Store). Các ứng dụng được cho là có liên quan đến một chiến dịch phần mềm độc hại, tên gọi SparkCat, dường như đã bắt đầu hoạt động từ tháng 3/2024.
Các nhà nghiên cứu từ Kaspersky bao gồm Dmitry Kalinin và Sergey Puzan đã chia sẻ cuộc điều tra của họ: “Đây là trường hợp đầu tiên được biết đến về Trojan dựa trên OCR lẻn vào AppStore. Hiện tại vẫn chưa rõ liệu các ứng dụng trong các cửa hàng này có bị xâm phạm thông qua một cuộc tấn công chuỗi cung ứng hay thông qua nhiều phương pháp khác hay không. Một số ứng dụng, như dịch vụ giao đồ ăn, có vẻ hợp pháp, trong khi những ứng dụng khác rõ ràng được thiết kế như một mồi nhử ”.
Báo cáo của Kaspersky nhấn mạnh: “Chiến dịch SparkCat có một số tính năng độc đáo khiến nó trở nên nguy hiểm. Trước hết, nó lây lan qua các cửa hàng ứng dụng chính thức và hoạt động mà không có dấu hiệu lây nhiễm rõ ràng. Tính ẩn núp của Trojan này khiến cả người kiểm duyệt cửa hàng và người dùng thiết bị di động đều khó phát hiện ra nó. Ngoài ra, các quyền mà nó yêu cầu có vẻ hợp lý, khiến chúng dễ bị bỏ qua. Quyền truy cập vào thư viện mà phần mềm độc hại cố gắng tiếp cận có vẻ cần thiết để ứng dụng hoạt động bình thường, vì nó xuất hiện theo quan điểm của người dùng. Quyền này thường được yêu cầu trong các bối cảnh có liên quan, chẳng hạn như khi người dùng liên hệ với bộ phận hỗ trợ khách hàng ”.
SparkCat sử dụng máy học để quét các thư viện hình ảnh và đánh cắp ảnh chụp màn hình có chứa cụm từ khôi phục ví tiền điện tử. Nó cũng có thể tìm và trích xuất dữ liệu nhạy cảm khác trong hình ảnh, chẳng hạn như mật khẩu…. Dựa trên các đánh giá, các nhà nghiên cứu cho biến những ứng dụng bị nhiễm mã độc này trên Google Play Store đã được tải xuống hơn 242.000 lần.
Về cơ chế hoạt động, sau khi cài đặt, trong một số trường hợp, phần mềm độc hại mới yêu cầu quyền truy cập để xem ảnh trong thư viện điện thoại thông minh của người dùng. Sau đó, nó phân tích văn bản trong hình ảnh được lưu trữ bằng mô-đun nhận dạng ký tự quang học (OCR). Nếu kẻ đánh cắp phát hiện ra các từ khóa có liên quan, nó sẽ gửi hình ảnh cho kẻ tấn công. Mục tiêu chính của tin tặc là tìm cụm từ khôi phục cho ví tiền điện tử. Với thông tin này, chúng có thể kiểm soát hoàn toàn ví của nạn nhân và đánh cắp tiền. Ngoài việc đánh cắp cụm từ khôi phục, phần mềm độc hại có khả năng trích xuất thông tin cá nhân khác từ ảnh chụp màn hình, chẳng hạn như tin nhắn và mật khẩu.
Đáng lưu ý, dựa trên cả thông tin về khu vực hoạt động của các ứng dụng bị nhiễm và phân tích kỹ thuật về phần mềm độc hại, các chuyên gia nhận thấy, SparkCat chủ yếu nhắm vào người dùng ở UAE và các quốc gia ở Châu Âu và Châu Á. SparkCat quét các thư viện hình ảnh để tìm từ khóa bằng nhiều ngôn ngữ, bao gồm tiếng Trung, tiếng Nhật, tiếng Hàn, tiếng Anh, tiếng Séc, tiếng Pháp, tiếng Ý, tiếng Ba Lan và tiếng Bồ Đào Nha…. Tuy nhiên, các chuyên gia tin rằng nạn nhân cũng có thể đến từ các quốc gia khác.
Phân tích các phiên bản Android của phần mềm độc hại, các chuyên gia Kaspersky đã tìm thấy các bình luận trong mã được viết bằng tiếng Trung Quốc. Ngoài ra, phiên bản iOS có chứa tên thư mục gốc của nhà phát triển, “ qiongwu ” và “ quiwengjing ”, cho thấy những kẻ đe dọa đằng sau chiến dịch này thông thạo tiếng Trung Quốc. Tuy nhiên, không có đủ bằng chứng để quy kết chiến dịch này cho một nhóm tội phạm mạng nào đã được biết trước.
“Đây là trường hợp đầu tiên được ghi nhận về một ứng dụng bị nhiễm phần mềm gián điệp OCR, được tìm thấy trên các chợ ứng dụng chính thức của Apple”, báo cáo của Kaspersky cho biết.
Vào ngày 6/2, Kaspersky đã cập nhật báo cáo của mình, lưu ý các ứng dụng được phát hiện đã bị xóa khỏi App Store. Apple xác nhận, họ đã xóa 11 ứng dụng, đồng thời nói thêm rằng các ứng dụng này đã chia sẻ mã với 89 ứng dụng trước đó (đã bị từ chối hoặc xóa khỏi App Store).
Apple thường quảng bá tính bảo mật nghiêm ngặt của App Store nên các trường hợp phần mềm độc hại “lọt lưới” trên chợ ứng dụng của họ là rất hiếm. Vì vậy, phát hiện mới nhất của Kaspersky tiếp tục nhắc nhở rằng thế giới khép kín của Apple không phải là nơi bất khả xâm phạm trước các cuộc tấn công mạng.
Theo: Tạp chí Bất động sản
