Các nhà nghiên cứu tại Kaspersky Lab đã tìm thấy một bộ phát triển phần mềm (SDK)/framework độc hại được nhúng trong nhiều ứng dụng trên Apple App Store và Google Play Store, được thiết kế để đánh cắp cụm từ khôi phục ví tiền điện tử bằng cách sử dụng các plugin nhận dạng ký tự quang học (OCR).
Theo các nhà nghiên cứu Kaspersky, các ứng dụng bị nhiễm đã được tải xuống hơn 242.000 lần từ Google Play Store nhưng đây là lần đầu tiên chúng được tìm thấy trên Apple App Store. Các nhà nghiên cứu đã đặt tên cho phần mềm độc hại này là "SparkCat" và cho rằng nó đã hoạt động từ tháng 3 năm 2024.
"Mô-đun phần mềm độc hại Android đã giải mã và khởi chạy một plugin OCR dựa trên thư viện Google ML Kit, mà nó sử dụng để nhận dạng văn bản trong các hình ảnh trong thư viện thiết bị. Sử dụng các từ khóa nhận được từ kênh liên lạc C2 (được sử dụng bởi tin tặc để điều khiển từ xa một thiết bị), Trojan đã gửi các hình ảnh đến máy chủ lệnh. Mô-đun phần mềm độc hại iOS được thiết kế tương tự và cũng sử dụng giao diện ML Kit của Google để OCR.", theo báo cáo của Kaspersky Lab. Phần mềm độc hại iOS cũng sử dụng giao diện ML Kit.
Trong trường hợp bạn đã cài đặt một ứng dụng bị nhiễm như vậy, các nhà nghiên cứu Kaspersky khuyên bạn nên gỡ cài đặt và không sử dụng nó "cho đến khi có bản vá loại bỏ chức năng độc hại." Họ cũng khuyên bạn không nên lưu trữ các ảnh chụp màn hình có thông tin nhạy cảm như "cụm từ khôi phục để truy cập vào ví tiền điện tử" trong thư viện thiết bị.
"Mật khẩu, tài liệu mật và các dữ liệu nhạy cảm khác có thể được lưu trữ trong các ứng dụng đặc biệt", các nhà nghiên cứu Kaspersky Lab cho biết. Ngoài ra, đầu tư vào "giải pháp bảo mật đáng tin cậy trên tất cả các thiết bị của bạn" cũng được khuyến nghị.
Các nhà nghiên cứu đã biên soạn danh sách các BundleID được mã hóa trong phần thân của các framework iOS, như sau:
im.pop.app.iOS.Messenger
com.hkatv.ios
com.atvnewsonline.app
io.zorixchange
com.yykc.vpnjsq
com.llyy.au
com.star.har91vnlive
com.jhgj.jinhulalaab
com.qingwa.qingwa888lalaaa
com.blockchain.uttool
com.wukongwaimai.client
com.unicornsoft.unicornhttpsforios
staffs.mil.CoinPark
com.lc.btdj
com.baijia.waimai
com.ctc.jirepaidui
com.ai.gbet
app.nicegram
com.blockchain.ogiut
com.blockchain.98ut
com.dream.towncn
com.mjb.Hardwood.Test
com.galaxy666888.ios
njiujiu.vpntest
com.qqt.jykj
com.ai.sport
com.feidu.pay
app.ikun277.test
com.usdtone.usdtoneApp2
com.cgapp2.wallet0
com.bbydqb
com.yz.Byteswap.native
jiujiu.vpntest
com.wetink.chat
com.websea.exchange
com.customize.authenticator
im.token.app
com.mjb.WorldMiner.new
com.kh-super.ios.superapp
com.thedgptai.event
com.yz.Eternal.new
xyz.starohm.chat
com.crownplay.luckyaddress1
