Trojan SparkCat sử dụng công nghệ nhận dạng quang học (OCR) để đánh cắp cụm từ khôi phục ví tiền điện tử từ ảnh chụp màn hình của người dùng, lây lan qua các ứng dụng trên App Store và Google Play.
Các nhà nghiên cứu bảo mật từ Kaspersky vừa phát hiện một loại Trojan mới có tên SparkCat, hoạt động trên cả App Store và Google Play từ ít nhất tháng 3 năm 2024. Đây là lần đầu tiên một phần mềm độc hại sử dụng công nghệ nhận dạng ký tự quang học (OCR) được phát hiện trên App Store. SparkCat tận dụng trí tuệ nhân tạo để quét hình ảnh trong thư viện ảnh của người dùng, nhắm vào các ảnh chụp màn hình chứa cụm từ khôi phục ví tiền điện tử và thông tin nhạy cảm khác như mật khẩu.
Kaspersky đã gửi báo cáo chi tiết về các ứng dụng bị nhiễm mã độc cho Google và Apple để có biện pháp xử lý kịp thời.
Cách thức lây nhiễm của SparkCat
Phần mềm độc hại này không chỉ ẩn mình trong các ứng dụng hợp pháp bị nhiễm mã độc mà còn được phát tán thông qua các ứng dụng mồi nhử như ứng dụng nhắn tin, trợ lý AI, ứng dụng giao đồ ăn, và các ứng dụng liên quan đến tiền điện tử. Một số ứng dụng bị nhiễm có thể được tải trực tiếp từ Google Play và App Store, trong khi một số khác được phân phối qua các nguồn không chính thức. Dữ liệu của Kaspersky cho thấy trên Google Play, các ứng dụng chứa SparkCat đã có hơn 242.000 lượt tải xuống.
Những đối tượng bị nhắm đến
SparkCat chủ yếu tấn công người dùng tại UAE, châu Âu và châu Á. Bằng cách quét thư viện ảnh, malware này tìm kiếm các từ khóa quan trọng bằng nhiều ngôn ngữ, bao gồm tiếng Anh, Trung, Nhật, Hàn, Pháp, Ý, Ba Lan và Bồ Đào Nha. Tuy nhiên, các chuyên gia cảnh báo rằng người dùng từ các quốc gia khác cũng có thể trở thành mục tiêu.
Cách thức hoạt động của SparkCat
Sau khi cài đặt trên thiết bị, phần mềm độc hại này yêu cầu quyền truy cập vào thư viện ảnh của người dùng. Sau đó, nó sử dụng một mô-đun nhận dạng ký tự quang học (OCR) để quét hình ảnh và phát hiện các cụm từ khôi phục ví điện tử. Nếu phát hiện được thông tin có giá trị, nó sẽ gửi hình ảnh đó về máy chủ của hacker.
Ngoài việc đánh cắp cụm từ khôi phục, SparkCat còn có thể trích xuất các thông tin nhạy cảm khác từ ảnh chụp màn hình, bao gồm mật khẩu, tin nhắn riêng tư và dữ liệu tài chính.
Theo Sergey Puzan, chuyên gia bảo mật của Kaspersky:
“Đây là lần đầu tiên một Trojan sử dụng công nghệ OCR bị phát hiện trên App Store. Chúng tôi vẫn chưa rõ cách thức các ứng dụng nhiễm mã độc vượt qua kiểm duyệt của App Store và Google Play. Một số ứng dụng được thiết kế giống với các ứng dụng hợp pháp để đánh lừa người dùng, trong khi một số khác có dấu hiệu rõ ràng của lừa đảo.”
Mối đe dọa của công nghệ AI trong tấn công mạng
Các nhóm tội phạm mạng đang tích hợp trí tuệ nhân tạo vào chiến lược tấn công của mình. Trên Android, SparkCat sử dụng Google ML Kit để phân tích hình ảnh và trích xuất thông tin. Các mô-đun tương tự cũng được áp dụng trên iOS.
Kaspersky đã phát triển các giải pháp bảo mật để phát hiện và ngăn chặn SparkCat trên cả Android và iOS với các mã nhận diện như HEUR:Trojan.IphoneOS.SparkCat.* và HEUR:Trojan.AndroidOS.SparkCat.*.
Làm thế nào để bảo vệ bản thân trước SparkCat?
Kaspersky khuyến nghị người dùng thực hiện các biện pháp sau để tránh trở thành nạn nhân:
- Xóa ngay lập tức các ứng dụng bị nhiễm nếu đã cài đặt.
- Không lưu trữ ảnh chụp màn hình chứa thông tin nhạy cảm như cụm từ khôi phục ví tiền điện tử.
- Sử dụng trình quản lý mật khẩu an toàn thay vì lưu trữ mật khẩu trong thư viện ảnh.
- Cài đặt phần mềm bảo mật đáng tin cậy như Kaspersky Premium để ngăn chặn malware.