Theo thông tin từ Trung tâm Nghiên cứu Nguy cơ An ninh mạng của Kaspersky loại Trojan (mã độc được ngụy trang dưới dạng phần mềm hợp pháp) mới, có tên gọi SparkCat. Mã độc này đã hoạt động trên 2 chợ ứng dụng App Store và Google Play ít nhất từ tháng 3/2024.

SparkCat sử dụng công nghệ học máy (Machine Learning) để quét thư viện ảnh, tìm kiếm các từ khóa bằng nhiều ngôn ngữ, nhất là ảnh chụp màn hình chứa các cụm từ khóa khôi phục ví tiền điện tử.

Theo thông tin cảnh báo, trojan này cũng có thể tìm và trích xuất dữ liệu nhạy cảm khác trong hình ảnh, chẳng hạn như mật khẩu. Đây là trường hợp đầu tiên được ghi nhận về mã độc dựa trên nhận dạng quang học xuất hiện trên App Store.

Không chỉ ẩn mình trong các ứng dụng hợp pháp bị nhiễm sẵn mã độc, SparkCat còn có trong các app mồi nhử như ứng dụng nhắn tin, trợ lý AI, giao đồ ăn, ứng dụng liên quan đến tiền điện tử,...

Một số ứng dụng có thể được tải về từ các nền tảng chính thức trên Google Play và App Store. Thống kê cho thấy, trên Google Play, các ứng dụng này đã được tải xuống hơn 242.000 lần.

Sau khi được cài đặt trên thiết bị, phần mềm độc hại này sẽ yêu cầu quyền truy cập vào thư viện ảnh. Tiếp đó, SparkCat sử dụng một mô-đun nhận dạng ký tự quang học (OCR) để phân tích văn bản, ký tự trong hình ảnh.

Nếu phát hiện các từ khóa liên quan, mã độc sẽ gửi hình ảnh đến kẻ tấn công. Mục tiêu của hacker là tìm các cụm từ khôi phục cho ví tiền điện tử. Với thông tin này, kẻ xấu có thể chiếm đoạt quyền kiểm soát ví điện tử của nạn nhân và đánh cắp tiền.

Ngoài đánh cắp các cụm từ khôi phục, malware này còn có khả năng trích xuất các thông tin cá nhân khác từ ảnh chụp màn hình, chẳng hạn như tin nhắn và mật khẩu.

Để tránh mất tiền oan, Cục An toàn thông tin (Bộ TT&TT) khuyến cáo người dùng không nên lưu ảnh chụp màn hình chứa nội dung quan trọng, như cụm từ khôi phục ví điện tử, mật khẩu ngân hàng... trong Thư viện ảnh. Thay vào đó, họ nên sử dụng trình quản lý mật khẩu hoặc lưu trữ ở nơi an toàn hơn.

Khánh An