SparkKitty được cài cắm trong các ứng dụng có nội dung liên quan đến tiền điện tử, cờ bạc, cũng như trong một phiên bản giả mạo của ứng dụng TikTok. Các ứng dụng này được phát tán không chỉ qua App Store và Google Play, mà còn trên các trang web lừa đảo.
Theo phân tích của các chuyên gia, mục tiêu của chiến dịch này có thể là đánh cắp tiền điện tử của người dùng khu vực Đông Nam Á và Trung Quốc. Người dùng tại Việt Nam cũng có nguy cơ đối mặt với mối đe dọa tương tự.
Kaspersky đã gửi thông báo tới Google và Apple để xử lý các ứng dụng độc hại nói trên. Một số chi tiết kỹ thuật cho thấy chiến dịch tấn công mới này có liên quan tới SparkCat - một trojan từng được phát hiện trước đó. SparkCat là mã độc đầu tiên trên nền tảng iOS có mô-đun nhận dạng ký tự quang học tích hợp (OCR) để quét thư viện ảnh người dùng, đánh cắp ảnh chụp màn hình có chứa mật khẩu hoặc cụm từ khôi phục ví tiền điện tử. Sau SparkCat, đây là lần thứ hai trong năm các nhà nghiên cứu tại Kaspersky phát hiện mã độc dạng đánh cắp thông tin (trojan stealer) trên App Store.
Hệ điều hành iOS
Trên App Store, mã độc trojan này được ngụy trang thành một ứng dụng liên quan đến tiền điện tử có tên 币coin. Ngoài ra, trên các trang web lừa đảo được thiết kế giả mạo giao diện App Store của iPhone, tội phạm mạng còn phát tán mã độc này dưới vỏ bọc ứng dụng TikTok và một số trò chơi cá cược.
Sergey Puzan, chuyên gia phân tích mã độc tại Kaspersky cho biết: "Các trang web giả mạo là một trong những kênh phổ biến để phát tán mã độc, nơi tin tặc tìm cách lừa người dùng truy cập và cài đặt phần mềm độc hại lên iPhone. Trên hệ điều hành iOS, vẫn tồn tại một số phương thức hợp pháp để người dùng cài đặt ứng dụng từ bên ngoài App Store. Trong chiến dịch tấn công lần này, tin tặc đã lợi dụng một công cụ dành cho nhà phát triển - vốn được thiết kế để cài ứng dụng nội bộ trong doanh nghiệp".
Hệ điều hành Android
Kẻ tấn công nhắm đến người dùng trên cả Google Play và các trang web bên thứ ba, bằng cách ngụy trang mã độc dưới dạng các dịch vụ liên quan đến tiền điện tử. Một trong số ví dụ về ứng dụng bị nhiễm mã độc là SOEX - ứng dụng nhắn tin tích hợp chức năng giao dịch tiền mã hóa, với hơn 10.000 lượt tải xuống từ cửa hàng chính thức.
Ứng dụng giả mạo sàn giao dịch tiền mã hóa SOEX trên Google Play
Ảnh: chụp màn hình
Ngoài ra, chuyên gia cũng phát hiện các tệp APK (tệp cài đặt ứng dụng Android, có thể cài trực tiếp mà không qua Google Play) của những ứng dụng bị nhiễm mã độc này trên website bên thứ ba, được cho là có liên quan đến chiến dịch tấn công nói trên. Các ứng dụng này được quảng bá dưới hình thức của các dự án đầu tư tiền mã hóa. Đáng chú ý, những trang web phát tán ứng dụng còn được quảng bá rộng rãi trên mạng xã hội, bao gồm cả YouTube.
Dmitry Kalinin, chuyên gia phân tích mã độc tại Kaspersky cho biết: "Sau khi cài đặt, các ứng dụng này hoạt động đúng như mô tả ban đầu. Tuy nhiên, trong lúc cài đặt, chúng âm thầm xâm nhập vào thiết bị và tự động gửi hình ảnh từ thư viện của nạn nhân về kẻ tấn công. Hình ảnh này có thể chứa thông tin nhạy cảm mà tin tặc tìm kiếm, như các đoạn mã khôi phục ví tiền điện tử, cho phép chúng chiếm đoạt tài sản số của nạn nhân. Có nhiều dấu hiệu gián tiếp cho thấy nhóm tấn công nhắm vào tài sản số của người dùng: Rất nhiều ứng dụng bị nhiễm đều liên quan đến tiền điện tử".
