Trong bối cảnh thực tế về an ninh mạng ngày càng trở nên nghiêm trọng, một cuộc điều tra của Kaspersky đã chỉ ra rằng hàng tá ứng dụng trên Google Play và Apple App Store đang âm thầm hoạt động không trung thực. Những ứng dụng này chứa một bộ phát triển phần mềm độc hại (SDK) có khả năng đánh cắp cụm từ khôi phục của ví tiền điện tử bằng cách sử dụng công nghệ nhận diện ký tự quang học (OCR). Cuộc chiến chống lại các mối đe dọa này đang trở thành một nhiệm vụ cấp thiết đối với những ai đang sử dụng công nghệ tiền điện tử.
Cuộc tấn công này có tên gọi “SparkCat,” lấy tên từ một trong những thành phần của mã độc trong các ứng dụng bị nhiễm. Theo thông tin từ Kaspersky, riêng trên Google Play, các ứng dụng này đã được tải xuống hơn 242.000 lần. Điều đáng lưu ý là đây là trường hợp đầu tiên ghi nhận sự hiện diện của mã độc trong App Store của Apple, cho thấy mối đe dọa này không chỉ giới hạn trên một nền tảng mà đã lan ra cả các hệ điều hành khác nhau.
Sự độc hại của SDK này nằm ở việc nó được giấu kín dưới dạng một mô-đun phân tích, khiến các nhà phát triển ứng dụng không nhận ra rằng họ đang phát tán mã độc. Mã độc sử dụng một file cấu hình mã hóa được lưu trữ trên GitLab, cung cấp các lệnh và bản cập nhật hoạt động cho nó. Trên nền tảng iOS, mã độc được biết đến với các tên khác như “Gzip” hay “googleappsdk,” đồng thời sử dụng một mô-đun mạng dựa trên Rust để xử lý giao tiếp với các máy chủ điều khiển.
Mã độc này có khả năng phát hiện các cụm từ khôi phục bằng cách tìm kiếm hình ảnh trong thư viện của người dùng, thông qua việc sử dụng các từ khóa cụ thể. Cụ thể hơn, nó có khả năng phân biệt các ký tự từ các ngôn ngữ khác nhau, bao gồm tiếng Latinh, Hàn Quốc, Trung Quốc, và Nhật Bản. Thông qua sự nhộn nhạo này, mã độc sẽ tìm kiếm và thu thập thông tin quan trọng từ thiết bị của nạn nhân, và từ đó tải lên máy chủ điều khiển mà kẻ tấn công có quyền kiểm soát.
Danh sách các ứng dụng bị nhiễm bao gồm 18 ứng dụng Android và 10 ứng dụng iOS, trong đó nhiều ứng dụng vẫn còn khả dụng trên các cửa hàng ứng dụng. Một trong số những ứng dụng Android hiện đã bị gỡ bỏ nhưng trước đó đã được tải xuống hơn 50.000 lần là ChatAi. Nếu bạn vô tình tải xuống bất kỳ ứng dụng nào trong số này, việc đầu tiên bạn cần làm là gỡ bỏ chúng ngay lập tức và nên sử dụng một công cụ antivirus trên di động để quét tìm bất kỳ dấu vết nào còn sót lại. Đặc biệt, những ai sử dụng ví tiền điện tử cần chú ý đến thực hành lưu trữ các cụm từ khôi phục.
Việc lưu trữ cụm từ khôi phục trên các hình ảnh màu sắc nên được tránh xa. Bạn nên xem xét việc lưu trữ chúng trên phương tiện lưu trữ offline an toàn, thiết bị lưu trữ được mã hóa, hoặc trong các trình quản lý mật khẩu tự lưu trữ và không kết nối mạng. Những biện pháp này sẽ giúp bạn bảo vệ tài sản tiền điện tử của mình khỏi các cuộc tấn công mạng đang gia tăng hiện nay.