\u003ct-44/\u003e
\u003ct-30/\u003e
Kaspersky Labs đã xác định một chiến dịch phần mềm độc hại tinh vi nhắm tới người dùng tiền điện tử thông qua các bộ phát triển phần mềm độc hại được nhúng trong các ứng dụng di động có sẵn trên Google Play và Apple App Store. Được đặt tên là "SparkCat," phần mềm độc hại này sử dụng nhận dạng ký tự quang học để quét ảnh của người dùng để tìm kiếm các cụm từ phục hồi ví tiền điện tử, mà các hacker sau đó sử dụng để truy cập và làm cạn kiệt các ví bị ảnh hưởng.
Trong một báo cáo toàn diện ngày 4 tháng 2 năm 2025, các nhà nghiên cứu Kaspersky Sergey Puzan và Dmitry Kalinin đã chi tiết cách phần mềm độc hại SparkCat xâm nhập vào các thiết bị và tìm kiếm hình ảnh để tìm các cụm từ phục hồi thông qua phát hiện từ khóa đa ngôn ngữ. Khi các cụm từ này được lấy, kẻ tấn công có quyền truy cập không bị hạn chế vào ví tiền điện tử của nạn nhân. Các hacker do đó đạt được quyền kiểm soát hoàn toàn đối với các quỹ, như các nhà nghiên cứu đã nhấn mạnh.
Hơn nữa, phần mềm độc hại được thiết kế để đánh cắp thêm thông tin nhạy cảm, chẳng hạn như mật khẩu và tin nhắn riêng tư được chụp trong ảnh chụp màn hình. Cụ thể trên các thiết bị Android, SparkCat giả mạo như một mô-đun phân tích dựa trên Java có tên là Spark. Phần mềm độc hại nhận cập nhật hoạt động từ một tệp cấu hình mã hóa trên GitLab và sử dụng Google's ML Kit OCR để trích xuất văn bản từ hình ảnh trên các thiết bị bị nhiễm. Việc phát hiện một cụm từ phục hồi dẫn đến việc phần mềm độc hại gửi thông tin trở lại cho kẻ tấn công, cho phép họ nhập ví tiền điện tử của nạn nhân vào thiết bị của họ.
Kaspersky ước tính rằng kể từ khi xuất hiện vào tháng 3 năm 2023, SparkCat đã được tải xuống khoảng 242.000 lần, chủ yếu ảnh hưởng đến người dùng ở Châu Âu và Châu Á.
Trong một báo cáo riêng nhưng liên quan từ giữa năm 2024, Kaspersky đã theo dõi một chiến dịch phần mềm độc hại Android khác liên quan đến các APK lừa đảo như Tria Stealer, cái mà chặn tin nhắn SMS và nhật ký cuộc gọi, và đánh cắp dữ liệu Gmail.
Sự hiện diện của phần mềm độc hại này trải dài qua nhiều ứng dụng, một số có vẻ hợp pháp như dịch vụ giao đồ ăn, và những ứng dụng khác được thiết kế để thu hút người dùng không cảnh giác, chẳng hạn như các ứng dụng nhắn tin hỗ trợ AI. Các tính năng chung giữa những ứng dụng bị nhiễm này bao gồm việc sử dụng ngôn ngữ lập trình Rust, khả năng đa nền tảng, và các phương pháp che giấu tinh vi để tránh bị phát hiện.
Nguồn gốc của SparkCat vẫn chưa rõ ràng. Các nhà nghiên cứu chưa gán phần mềm độc hại này cho bất kỳ nhóm hacker nào đã biết nhưng đã lưu ý các bình luận và thông báo lỗi bằng tiếng Trung trong mã, cho thấy sự thông thạo tiếng Trung của nhà phát triển. Mặc dù nó có nhiều điểm tương đồng với một chiến dịch được ESET phát hiện vào tháng 3 năm 2023, nguồn gốc chính xác của nó vẫn chưa được xác định.
Kaspersky mạnh mẽ khuyên người dùng không nên lưu trữ thông tin nhạy cảm như các cụm từ phục hồi ví tiền điện tử trong thư viện ảnh của họ. Thay vào đó, họ khuyên nên sử dụng các trình quản lý mật khẩu và thường xuyên quét và loại bỏ các ứng dụng nghi ngờ.
Các phát hiện ban đầu được báo cáo trên 99Bitcoins trong bài viết có tiêu đề "Các SDK độc hại trên Google Play và App Store đánh cắp các cụm từ hạt giống tiền điện tử: Kaspersky."
\u003cc-47/\u003e
