Cảnh báo bảo mật Tiền điện tử: Phần mềm độc hại SparkCat quét ảnh của bạn để tìm kiếm khóa Ví tiền - Tin tức Tiền điện tử nhanh

• Sử dụng Google ML Kit cho việc trích xuất văn bản, SparkCat truyền dữ liệu đánh cắp thông qua kênh truyền thông mã hóa, làm cho việc phát hiện trở nên khó khăn.
• Các phương pháp tấn công độc đáo của SparkCat bao gồm một framework Objective-C trên iOS và một SDK dựa trên Java trên Android.

Một loại phần mềm độc hại mới, SparkCat, đã xuất hiện làm thách thức cho người dùng tiền điện tử Android và iOS, theo một báo cáo ngày 4 tháng 2 của công ty an ninh mạng Kaspersky. Phần mềm độc hại này xuất hiện nhúng trong các ứng dụng khác có vẻ vô hại. Hơn nữa, nó lấy các chi tiết quan trọng của người dùng từ thiết bị di động của họ bằng một cách tiếp cận tinh vi.

SparkCat sử dụng nhận dạng ký tự quang học cho việc trộm cắp

SparkCat quét các hình ảnh được lưu trong bộ sưu tập của thiết bị để khôi phục các cụm từ khôi phục ví điện tử. Nó thực hiện quét thông qua công nghệ Nhận dạng ký tự quang học, một công nghệ nhận dạng văn bản từ hình ảnh. Người dùng đã lưu một số ảnh chụp màn hình và ghi chú liên quan đến ví điện tử có thể là nạn nhân tiềm năng của việc xâm phạm dữ liệu.

Phần mềm độc hại này bắt đầu hoạt động vào tháng 3 năm 2024, và đã tấn công vào các ứng dụng bao gồm ứng dụng nhắn tin AI và dịch vụ đặt món ăn trên Google Play Store và App Store do Apple điều hành. Thú vị là đây là lần đầu tiên có một loại phần mềm độc hại dựa trên OCR lấy cắp tiền điện tử bằng cách sử dụng các thiết bị Apple.

Trên Android, nó lan truyền thông qua một SDK gọi là Spark, được dựa trên Java, giả mạo như một mô-đun phân tích và được tiêm vào các ứng dụng. Khi người dùng khởi chạy ứng dụng bị nhiễm, phần malware sẽ truy xuất một tệp cấu hình được mã hóa từ một kho lưu trữ GitLab từ xa.

Khi được kích hoạt, SparkCat sử dụng chức năng OCR của Google ML Kit để quét hình ảnh trong thư viện của thiết bị. Nó tìm kiếm các từ khóa liên quan đến các cụm từ khôi phục ví tiền điện tử bằng nhiều ngôn ngữ, bao gồm tiếng Anh, tiếng Trung, tiếng Nhật, tiếng Hàn và một số ngôn ngữ châu Âu khác, theo báo cáo của KasperSky.

Phần mềm độc hại gửi hình ảnh đến máy chủ được điều khiển bởi kẻ tấn công để rò rỉ dữ liệu bị đánh cắp. Các phương pháp truyền bao gồm việc sử dụng lưu trữ đám mây Amazon, cùng với giao thức dựa trên Rust. Điều này khiến việc theo dõi trở nên rất khó khăn vì nó liên quan đến các kênh truyền thông được mã hóa và các kỹ thuật truyền dữ liệu không bình thường.

Sự xâm nhập iOS qua Framework độc hại

Phiên bản iOS của SparkCat hoạt động khác biệt khi nó nhúng chính mình vào các ứng dụng bị xâm phạm dưới dạng một framework với các tên khác nhau như GZIP, googleappsdk hoặc stat. Framework độc hại này, được viết bằng Objective-C, được che giấu bằng HikariLLVM và tích hợp Google ML Kit để phân tích hình ảnh của thư viện thiết bị.

Không giống như phiên bản Android, trong iOS, phần mềm độc hại yêu cầu truy cập vào bộ sưu tập ảnh chỉ khi các hành động cụ thể được thực hiện bởi người dùng, chẳng hạn như mở trò chuyện hỗ trợ trong ứng dụng bị nhiễm khuẩn. Điều này làm giảm nghi ngờ trong khi cho phép phần mềm độc hại lấy thông tin liên quan đến ví tiền.

Báo cáo từ Kaspersky cho biết ngoài cụm từ phục hồi, phần mềm độc hại còn có khả năng đánh cắp các dữ liệu nhạy cảm khác. Điều này bao gồm mật khẩu đã lưu trữ và nội dung tin nhắn được chụp trong ảnh chụp màn hình. Các chuyên gia bảo mật ước tính rằng SparkCat đã xâm nhập vào hơn 242.000 thiết bị, chủ yếu tại châu Âu và châu Á.

Tuy nhiên, nguồn gốc của phần mềm độc hại là không xác định. Dựa trên nhận xét về mã và thông báo lỗi, có thể xác định rằng những nhà phát triển nói tiếng Trung. Các cuộc tấn công phần mềm độc hại vào người dùng tiền điện tử tiếp tục leo thang với các tên tội phạm mạng liên tục tìm cách phá vỡ các biện pháp an ninh được áp đặt bởi các cửa hàng ứng dụng.

Vào tháng 9 năm 2024, Binance đã ghi nhận phần mềm độc hại Clipper, thay thế địa chỉ ví được sao chép bằng những địa chỉ do kẻ tấn công kiểm soát, dẫn đến việc nạn nhân gửi tiền vào các địa điểm gian lận mà họ không hề hay biết. Như chúng ta đã thảo luận, năm ngoái vào năm 2024, các nhà đầu tư đã mất hơn 3 tỷ đô la trong các vụ lừa đảo và hack tiền điện tử.