Các nhà nghiên cứu của Kaspersky đã mô tả chi tiết một chiến dịch phần mềm độc hại đa nền tảng nhắm vào các cụm từ khôi phục ví tiền điện tử thông qua các ứng dụng di động độc hại.

Theo một báo cáo gần đây, chiến dịch "SparkCat" sử dụng một Bộ phát triển phần mềm (SDK) độc hại được nhúng trong các ứng dụng nhắn tin đã bị sửa đổi và các ứng dụng khác để quét thư viện ảnh của người dùng để tìm dữ liệu khôi phục nhạy cảm. Kỹ thuật này đã được quan sát lần đầu tiên vào tháng 3 năm 2023.

Vào thời điểm đó, các nhà nghiên cứu an ninh mạng đã quan sát thấy các tính năng phần mềm độc hại trong các ứng dụng nhắn tin quét thư viện ảnh của người dùng để tìm các Seed Phrase của ví tiền điện tử - thường được gọi là Ghi nhớ - để gửi đến các máy chủ từ xa.

Chiến dịch ban đầu chỉ ảnh hưởng đến người dùng Android và Windows thông qua các nguồn ứng dụng không chính thức, các nhà nghiên cứu cho biết.

Điều này không đúng với SparkCat, được phát hiện vào cuối năm 2024. Chiến dịch mới này sử dụng một khung SDK được tích hợp vào các ứng dụng khác nhau có sẵn trên các cửa hàng ứng dụng chính thức và không chính thức cho các thiết bị Android và iOS.

Trong một trường hợp, một ứng dụng giao hàng thức ăn có tên "ComeCome" trên Google Play được phát hiện có chứa SDK độc hại này. Các ứng dụng bị nhiễm độc đã được cài đặt tổng cộng hơn 242.000 lần, và phần mềm độc hại tương tự sau đó đã được xác định trong các ứng dụng có sẵn trên App Store của Apple.

Stephen Ajayi, trưởng nhóm kiểm toán kỹ thuật dApp tại công ty an ninh mạng tiền điện tử Hacken, cho biết với Decrypt rằng các biện pháp phòng ngừa được áp dụng bởi các cửa hàng ứng dụng thường chỉ là các kiểm tra tự động và hiếm khi bao gồm các bản xem xét thủ công.

Slava Demchuk, Giám đốc điều hành của công ty phân tích blockchain AMLBot, cũng nhấn mạnh rằng vấn đề này được gia tăng bởi việc che giấu mã và các bản cập nhật độc hại đưa phần mềm độc hại vào sau khi ứng dụng đã được phê duyệt.

"Trong trường hợp của SparkCat, các kẻ tấn công đã che giấu điểm truy cập để ẩn các hành động của họ khỏi các nhà nghiên cứu an ninh mạng và cơ quan thực thi pháp luật," ông nói với Decrypt. "Chiến thuật này giúp họ tránh được phát hiện trong khi giữ bí mật các phương pháp của họ khỏi các đối thủ cạnh tranh."

Phần mềm độc hại sử dụng thư viện ML Kit của Google để thực hiện nhận dạng ký tự quang học (OCR) trên các hình ảnh được lưu trữ trên các thiết bị của người dùng. Khi người dùng truy cập tính năng trò chuyện hỗ trợ trong ứng dụng, SDK yêu cầu họ cấp quyền để đọc thư viện ảnh.

Nếu được cấp quyền, ứng dụng sẽ quét các hình ảnh để tìm các từ khóa gợi ý sự hiện diện của Seed Phrase bằng nhiều ngôn ngữ. Các hình ảnh khớp được mã hóa và truyền đến một máy chủ từ xa.

Demchuk lưu ý rằng "vector tấn công này khá bất thường - tôi chủ yếu đã thấy các chiến thuật tương tự trong gian lận ATM, nơi các kẻ tấn công đánh cắp mã PIN."

Ông thêm rằng thực hiện một cuộc tấn công như vậy yêu cầu một mức độ kỹ thuật cao, và nếu quá trình trở nên đơn giản hơn để nhân rộng thì nó có thể gây ra nhiều thiệt hại hơn.

"Nếu các kẻ lừa đảo có kinh nghiệm bắt đầu bán các script sẵn sàng, phương pháp này có thể lan rộng nhanh chóng," ông nói.

Ajayi đồng ý, lưu ý rằng "OCR để quét là một chiêu thức thông minh," nhưng ông tin rằng vẫn còn nhiều chỗ để cải thiện. "Hãy tưởng tượng sự kết hợp của OCR và AI để tự động chọn ra thông tin nhạy cảm từ các hình ảnh hoặc màn hình."

Với lời khuyên dành cho người dùng, Demchuk khuyên nên suy nghĩ kỹ trước khi cấp quyền cho các ứng dụng. Ajayi cũng đề xuất rằng các nhà phát triển ví "nên tìm ra những cách tốt hơn để xử lý và hiển thị dữ liệu nhạy cảm như Seed Phrase."

Được chỉnh sửa bởi Stacy Elliott.