Mã độc này có khả năng đánh cắp ảnh và thông tin thiết bị, sau đó gửi về máy chủ của tin tặc. SparkKitty thường xuất hiện trong các ứng dụng liên quan đến tiền mã hóa, trò chơi cá cược, và một phiên bản TikTok giả mạo. Chúng được phát tán thông qua App Store, Google Play và cả các trang web lừa đảo. Chiến dịch tấn công này được cho là nhắm đến người dùng tại Đông Nam Á và Trung Quốc, trong đó có Việt Nam.
Kaspersky đã cảnh báo Apple và Google về các ứng dụng độc hại liên quan. Một số chi tiết cho thấy SparkKitty có liên hệ với SparkCat – mã độc từng gây chú ý khi dùng công nghệ OCR để quét ảnh chụp màn hình, tìm mật khẩu hoặc cụm từ khôi phục ví tiền ảo. Đây là lần thứ hai trong năm các chuyên gia ghi nhận Trojan chuyên đánh cắp dữ liệu xuất hiện trên App Store.
Một trang web giả mạo App Store nhằm dẫn dụ người dùng cài đặt ứng dụng TikTok, và một cửa hàng trực tuyến giả được cài cắm trong ứng dụng TikTok giả mạo
Trên iOS, SparkKitty được ngụy trang dưới tên 币coin, giả dạng ứng dụng tiền mã hóa. Ngoài ra, các trang web giả mạo App Store phát tán phiên bản TikTok và trò chơi cá cược nhiễm mã độc. Tin tặc lợi dụng một công cụ dành cho nhà phát triển để cài ứng dụng bên ngoài App Store hợp pháp. Khi người dùng đăng nhập TikTok giả, mã độc lập tức truy cập thư viện ảnh và cài link độc vào hồ sơ cá nhân – dẫn đến một cửa hàng chỉ nhận thanh toán bằng tiền mã hóa.
Chuyên gia Sergey Puzan của Kaspersky cảnh báo: “Việc lợi dụng công cụ dành cho nhà phát triển để phát tán mã độc là xu hướng đáng lo ngại, vì bypass được hàng rào bảo vệ của iOS. Đặc biệt, các trang web lừa đảo ngày càng tinh vi khiến người dùng dễ bị dụ cài nhầm.”
Ứng dụng giả mạo sàn giao dịch tiền mã hóa SOEX trên Google Play
Với Android, SparkKitty cũng được phát tán qua Google Play và các website bên ngoài, ẩn mình trong các ứng dụng tiền mã hóa. Một ví dụ là SOEX, ứng dụng nhắn tin có tích hợp chức năng giao dịch tiền ảo, từng có hơn 10.000 lượt tải. Ngoài ra, các tệp APK từ bên thứ ba cũng chứa mã độc, được quảng bá mạnh trên mạng xã hội như YouTube, TikTok, Facebook.
Chuyên gia Dmitry Kalinin cho biết: “Mã độc này hoạt động ẩn, gửi hình ảnh về máy chủ tấn công. Những ảnh này có thể chứa mã khôi phục ví tiền ảo, cho phép tin tặc chiếm đoạt tài sản.” Việc hầu hết các ứng dụng nhiễm mã độc đều liên quan đến tiền mã hóa cho thấy mục tiêu chính là chiếm đoạt tài sản số.
Người dùng được khuyến cáo không cài ứng dụng từ nguồn không tin cậy, kiểm tra kỹ thông tin nhà phát triển và sử dụng giải pháp bảo mật di động.
Báo cáo chi tiết về chiến dịch tấn công này được đăng tải trên trang Securelist.com.
if (pageSettings.allow3rd) admicroAD.unit.push(function () { admicroAD.show('admzonek1fs4xky') });
