Phần mềm độc hại SparkCat
Một chiến dịch đe dọa mới được phát hiện gần đây, có tên là SparkCat, đã xâm nhập vào cả App Store của Apple và Google Play bằng các ứng dụng lừa đảo được thiết kế để thu thập các cụm từ khôi phục ví tiền điện tử. Các ứng dụng này, được ngụy trang thành các dịch vụ hợp pháp, bí mật trích xuất các cụm từ ghi nhớ từ thiết bị của nạn nhân, khiến tài sản kỹ thuật số gặp rủi ro.
Mục lục
Khai thác OCR để thu thập cụm từ khôi phục ví
SparkCat tận dụng mô hình Nhận dạng ký tự quang học (OCR) tiên tiến để quét thư viện ảnh của người dùng để tìm hình ảnh có chứa cụm từ khôi phục ví. Sau khi phát hiện, những hình ảnh nhạy cảm này sẽ được chuyển đến máy chủ Chỉ huy và Kiểm soát (C2) từ xa. Chiến dịch này được đặt tên theo một bộ công cụ phát triển phần mềm nhúng (SDK) bao gồm một thành phần Java có tên là Spark, ngụy trang thành một mô-đun phân tích. Hiện vẫn chưa rõ liệu sự xâm nhập này có phải là kết quả của một cuộc tấn công chuỗi cung ứng hay được các nhà phát triển cố tình đưa vào hay không.
Đột nhập vào App Store của Apple
Trong khi các mối đe dọa Android với khả năng OCR đã xuất hiện trước đây, SparkCat là một trong những trường hợp đầu tiên của cuộc tấn công như vậy xâm nhập vào App Store của Apple. Trên Google Play, các ứng dụng bị xâm phạm đã được tải xuống hơn 242.000 lần trước khi bị xóa khỏi cả hai nền tảng vào ngày 7 tháng 2 năm 2025.
Hoạt động đa nền tảng
Bằng chứng cho thấy SparkCat đã hoạt động từ tháng 3 năm 2024. Các ứng dụng không an toàn của nó được phân phối thông qua cả cửa hàng ứng dụng chính thức và của bên thứ ba. Các ứng dụng gian lận mạo danh các công cụ AI, dịch vụ giao đồ ăn và nền tảng Web3, một số thậm chí còn cung cấp chức năng có vẻ hợp pháp để tránh bị nghi ngờ.
SparkCat Thu thập Dữ liệu như thế nào
Trên các thiết bị Android, phần mềm độc hại giải mã và kích hoạt một plug-in OCR được hỗ trợ bởi thư viện ML Kit của Google. Nó quét các thư viện hình ảnh để tìm văn bản khớp với các từ khóa được xác định trước từ máy chủ C2 của nó. Bất kỳ hình ảnh nào được gắn cờ sau đó sẽ được truyền đến kẻ tấn công.
Phiên bản iOS của SparkCat sử dụng cơ chế OCR dựa trên ML Kit chính xác để xác định và trích xuất thông tin nhạy cảm. Phiên bản này cũng sử dụng một khuôn khổ giao tiếp dựa trên Rust để tương tác với máy chủ C2 của nó—một chiến thuật không phổ biến trong các mối đe dọa di động.
Ai là người đứng sau vụ tấn công?
Phân tích các từ khóa được sử dụng và các mô hình phân phối cho thấy SparkCat chủ yếu nhắm vào người dùng ở Châu Âu và Châu Á. Bằng chứng chỉ ra những kẻ đe dọa thông thạo tiếng Trung, mặc dù danh tính chính xác của chúng vẫn chưa được biết.
Một Trojan tàng hình ngụy trang
Điều khiến SparkCat đặc biệt lừa đảo là khả năng hoạt động mà không gây ra cảnh báo. Các quyền mà nó yêu cầu có vẻ cần thiết cho các tính năng được quảng cáo của ứng dụng hoặc vô hại, cho phép nó hòa nhập mà không gây ra nghi ngờ. Cách tiếp cận lén lút này khiến người dùng khó nhận ra mối đe dọa trước khi ví tiền điện tử của họ bị xâm phạm.
