Phần mềm độc hại lấy trộm tiền điện tử được tìm thấy trong SDK của chợ ứng dụng di động, Kaspersky cảnh báo

Kaspersky Labs đã xác định một chiến dịch phần mềm độc hại tinh vi nhắm vào người dùng tiền điện tử thông qua các bộ phát triển phần mềm độc hại được nhúng trong các ứng dụng di động trên Google Play và Apple App Store. Được đặt tên là "SparkCat," phần mềm độc hại này sử dụng nhận diện ký tự bằng quang học để quét ảnh của người dùng tìm kiếm cụm từ khôi phục ví tiền điện tử, mà tin tặc sau đó sử dụng để truy cập và lấy cạn ví bị ảnh hưởng.

Trong một báo cáo toàn diện ngày 4 tháng 2, 2025, các nhà nghiên cứu Kaspersky, Sergey Puzan và Dmitry Kalinin chi tiết cách mà phần mềm độc hại SparkCat xâm nhập vào thiết bị và tìm kiếm ảnh để phát hiện cụm từ khôi phục thông qua nhận diện từ khóa đa ngôn ngữ. Một khi những cụm từ này được lấy, kẻ tấn công có thể truy cập không bị hạn chế vào ví tiền điện tử của nạn nhân. Do đó, tin tặc có toàn quyền kiểm soát quỹ, như được các nhà nghiên cứu nhấn mạnh.

Hơn nữa, phần mềm độc hại này còn được thiết kế để lấy cắp thông tin nhạy cảm như mật khẩu và tin nhắn riêng tư bị chụp lại trong ảnh chụp màn hình. Đặc biệt trên thiết bị Android, SparkCat giả dạng dưới hình thức một mô-đun phân tích dựa trên Java được gọi là Spark. Phần mềm độc hại này nhận các cập nhật hoạt động từ một tệp cấu hình mã hóa trên GitLab và sử dụng Google ML Kit OCR để trích xuất văn bản từ hình ảnh trên các thiết bị bị lây nhiễm. Khi phát hiện một cụm từ khôi phục, phần mềm độc hại gửi thông tin trở lại cho kẻ tấn công, cho phép họ nhập ví tiền điện tử của nạn nhân vào thiết bị của mình.

Kaspersky ước tính kể từ khi xuất hiện vào tháng 3 năm 2023, SparkCat đã được tải về khoảng 242.000 lần, chủ yếu ảnh hưởng đến người dùng ở châu Âu và châu Á.

Trong một báo cáo riêng nhưng có liên quan từ giữa năm 2024, Kaspersky đã theo dõi một chiến dịch phần mềm độc hại Android khác liên quan đến các tệp APK lừa đảo như Tria Stealer, chặn các tin nhắn SMS và nhật ký cuộc gọi, và lấy cắp dữ liệu Gmail.

Sự hiện diện của phần mềm độc hại này lan rộng ra nhiều ứng dụng, có vẻ hợp pháp như các dịch vụ giao đồ ăn, và những ứng dụng được thiết kế để thu hút người dùng bất cẩn, như các ứng dụng nhắn tin hỗ trợ AI. Các tính năng chung trong số các ứng dụng bị nhiễm này bao gồm sử dụng ngôn ngữ lập trình Rust, khả năng đa nền tảng, và các phương pháp che giấu phức tạp để tránh bị phát hiện.

Nguồn gốc của SparkCat vẫn chưa rõ ràng. Các nhà nghiên cứu chưa gán phần mềm độc hại cho bất kỳ nhóm hacker đã biết nào nhưng đã ghi nhận các bình luận và tin nhắn lỗi bằng tiếng Trung trong mã, cho thấy sự thông thạo tiếng Trung của nhà phát triển. Dù chia sẻ điểm tương đồng với một chiến dịch do ESET phát hiện vào tháng 3 năm 2023, nguồn gốc chính xác của nó vẫn chưa được xác định.

Kaspersky mạnh mẽ khuyên người dùng không nên lưu trữ thông tin nhạy cảm như cụm từ khôi phục ví tiền điện tử trong thư viện ảnh của họ. Thay vào đó, họ đề xuất sử dụng trình quản lý mật khẩu và thường xuyên quét để loại bỏ ứng dụng đáng ngờ.

Những phát hiện ban đầu được báo cáo trên 99Bitcoins trong bài viết có tiêu đề "Malicious SDKs on Google Play and App Store Steal Crypto Seed Phrases: Kaspersky."