Hãng bảo mật Kaspersky cho biết, phần mềm độc hại SparkCat tồn tại trong các ứng dụng vốn đã vượt qua trình kiểm tra an ninh của Apple để xuất hiện trên cửa hàng App Store.
Các ứng dụng bị nhiễm SparkCat được phát hiện có ComeCome, WeTink và AnyGPT. Đây là lần đầu tiên mối đe dọa như vậy được tìm thấy trong các ứng dụng App Store.
Theo Kaspersky, SparkCat sử dụng công nghệ học máy (Machine Learning) để quét thư viện ảnh và đánh cắp ảnh chụp màn hình chứa các cụm từ khôi phục ví tiền điện tử. SparkCat cũng có thể tìm và trích xuất dữ liệu nhạy cảm khác trong hình ảnh, chẳng hạn như mật khẩu.
Malware không chỉ ẩn mình trong các ứng dụng hợp pháp bị nhiễm sẵn mã độc, mà còn trong các ứng dụng mồi nhử (lures) - như ứng dụng nhắn tin, trợ lý AI, giao đồ ăn, ứng dụng liên quan đến tiền điện tử…
Kaspersky thông tin, loạt ứng dụng nhiễm SparkCat sử dụng trình Nhận dạng ký tự quang học (OCR) để quét ảnh chụp màn hình với mục đích tìm thông tin nhạy cảm.
Bên trong chúng chứa module độc hại, tận dụng trình cắm thêm ML Kit OCR của Google để phân tích hình ảnh và lấy nội dung trên đó.
SparkCat đặc biệt tập trung vào cụm từ "hạt giống" dùng để khôi phục ví tiền số, qua đó cho phép kẻ tấn công đánh cắp Bitcoin và tài sản kỹ thuật số khác.
Các chuyên gia cho biết, nếu phát hiện ảnh chụp màn hình liên quan đến ví tiền số, mã độc sẽ lập tức truyền dữ liệu thu được đến máy chủ của kẻ tấn công.
SparkCat được cho là đã hoạt động từ tháng 3/2024, nhưng chủ yếu trên thiết bị Android trước khi xuất hiện trên thiết bị chạy iOS gần đây.
Bên cạnh thu thập nội dung từ ảnh chụp màn hình, khi cài đặt, ứng dụng nhiễm SparkCat sẽ yêu cầu quyền truy cập ảnh và quét để lấy nội dung quan trọng khác.
Kaspersky cho biết một số ứng dụng nhiễm SparkCat vẫn tồn tại trên App Store. Họ chưa thể xác định đây là hành động có chủ đích từ các nhà phát triển hay do chúng bị tấn công.
Kaspersky khuyến cáo người dùng không nên lưu ảnh chụp màn hình chứa nội dung quan trọng, như cụm từ khôi phục ví điện tử, mật khẩu ngân hàng... trong Thư viện ảnh. Thay vào đó, họ nên sử dụng trình quản lý mật khẩu hoặc lưu trữ ở nơi an toàn hơn.
