Kaspersky vừa cảnh báo mã độc SparkKitty ẩn trong các ứng dụng giả trên App Store, Google Play và web lừa đảo, đe dọa đánh cắp dữ liệu người dùng tại Đông Nam Á, trong đó có Việt Nam.
Theo đó, các nhà nghiên cứu bảo mật tại Kaspersky vừa công bố phát hiện một chiến dịch tấn công mạng mới với mã độc có tên SparkKitty, nhắm vào người dùng smartphone chạy hệ điều hành iOS và Android. Phần mềm gián điệp này được phát tán thông qua các ứng dụng giả mạo, bao gồm cả những ứng dụng liên quan đến tiền điện tử, trò chơi cá cược, và thậm chí là phiên bản nhái của TikTok. SparkKitty được thiết kế để đánh cắp hình ảnh và thông tin hệ thống từ thiết bị bị nhiễm, sau đó chuyển dữ liệu về máy chủ của kẻ tấn công.
Chiến dịch phát tán SparkKitty diễn ra trên cả các nền tảng chính thức như App Store, Google Play và nhiều trang web lừa đảo, đặt ra mối đe dọa đáng kể cho người dùng tại khu vực Đông Nam Á, Trung Quốc và cả Việt Nam. Kaspersky cho biết đã gửi cảnh báo đến Apple và Google nhằm xử lý các ứng dụng chứa mã độc. Dựa trên một số dấu hiệu kỹ thuật, SparkKitty có thể liên quan đến SparkCat – một Trojan từng bị phát hiện trước đó với khả năng dùng công nghệ nhận dạng ký tự để trích xuất dữ liệu nhạy cảm từ ảnh chụp màn hình, bao gồm mật khẩu hoặc seed phrase của ví tiền điện tử.
Tấn công nhắm vào iOS: Ứng dụng giả và trang web lừa đảo
Trên nền tảng iOS, SparkKitty được ngụy trang dưới dạng ứng dụng mang tên 币coin – giả mạo là ứng dụng giao dịch tiền mã hóa. Ngoài ra, mã độc còn được cài cắm trong các trang web mô phỏng giao diện App Store để đánh lừa người dùng tải về phiên bản TikTok hoặc các trò chơi có tích hợp cửa hàng điện tử giả, chỉ chấp nhận thanh toán bằng tiền mã hóa.
Theo chuyên gia Sergey Puzan của Kaspersky, tin tặc đã tận dụng công cụ dành cho nhà phát triển doanh nghiệp – một lỗ hổng hợp pháp nhưng dễ bị lạm dụng – để cài đặt ứng dụng ngoài App Store. Phiên bản TikTok nhiễm mã độc sẽ đánh cắp ảnh sau khi người dùng đăng nhập và tự động thêm liên kết lạ vào hồ sơ cá nhân của nạn nhân, chuyển hướng họ tới cửa hàng lừa đảo.
Android cũng trở thành mục tiêu
Với hệ điều hành Android, SparkKitty được phát tán thông qua các ứng dụng trên Google Play, tiêu biểu như SOEX – một app giả dạng công cụ nhắn tin tích hợp chức năng giao dịch tiền mã hóa, có tới hơn 10.000 lượt tải. Ngoài ra, các tệp cài đặt APK bị nhiễm độc cũng được lan truyền qua các trang web bên ngoài, thường đi kèm với nội dung quảng bá hấp dẫn liên quan đến đầu tư tiền điện tử, thậm chí còn xuất hiện trên YouTube và mạng xã hội.
Chuyên gia Dmitry Kalinin từ Kaspersky cho biết: sau khi cài đặt, các ứng dụng độc hại hoạt động như mô tả ban đầu nhưng đồng thời lặng lẽ sao chép ảnh từ thiết bị và gửi về máy chủ điều khiển. Các hình ảnh này có thể chứa thông tin nhạy cảm như mã khôi phục ví tiền mã hóa – mục tiêu chính của cuộc tấn công.
Khuyến nghị bảo vệ người dùng
Để tránh rơi vào bẫy của chiến dịch SparkKitty, Kaspersky khuyến cáo người dùng nên:
- Gỡ bỏ ngay các ứng dụng nghi ngờ chứa mã độc, đặc biệt là các app liên quan đến tiền điện tử không rõ nguồn gốc.
- Không lưu trữ ảnh chụp màn hình chứa thông tin cá nhân quan trọng trong thư viện ảnh. Thay vào đó, sử dụng ứng dụng quản lý mật khẩu như Kaspersky Password Manager.
- Cài đặt phần mềm bảo mật uy tín như Kaspersky Premium để nhận diện và ngăn chặn kịp thời hành vi bất thường. Riêng với iOS, phần mềm có thể cảnh báo và chặn việc gửi dữ liệu trái phép ra bên ngoài.
- Cẩn trọng khi ứng dụng yêu cầu truy cập thư viện ảnh – chỉ cấp quyền nếu thật sự cần thiết cho chức năng chính.
Về nhóm nghiên cứu và công ty Kaspersky
Nhóm Nghiên cứu Mối đe dọa của Kaspersky chuyên điều tra, phân tích và đối phó với các mối nguy an ninh mạng phức tạp. Với chuyên môn sâu rộng, họ cung cấp nền tảng kỹ thuật cho các giải pháp bảo mật toàn diện của công ty, đồng thời đóng vai trò quan trọng trong việc bảo vệ cộng đồng kỹ thuật số toàn cầu.
Kaspersky là công ty an ninh mạng quốc tế thành lập từ năm 1997, hiện đang bảo vệ hơn một tỷ thiết bị trên toàn thế giới trước những mối đe dọa số ngày càng tinh vi. Danh mục sản phẩm của hãng bao gồm giải pháp bảo mật điểm cuối, nền tảng Cyber Immune, và nhiều dịch vụ bảo mật chuyên biệt khác, phục vụ hơn 200.000 doanh nghiệp toàn cầu.