Các nhà nghiên cứu Kaspersky đã phát hiện một chiến dịch phần mềm độc hại di động tinh vi mới có tên gọi “SparkKitty” đã xâm nhập thành công cả App Store của Apple và Google Play, đặc biệt nhắm vào các ảnh chụp màn hình của cụm từ hạt giống ví tiền điện tử được lưu trữ trong thư viện ảnh của người dùng.
Phần mềm độc hại, mà phát triển từ một chiến dịch SparkCat đã được xác định trước đó, sử dụng công nghệ nhận dạng ký tự quang học (OCR) để quét và lấy cắp hình ảnh chứa thông tin ví tiền điện tử nhạy cảm từ các thiết bị iOS và Android.
Chiến dịch, đã hoạt động từ ít nhất tháng 2 năm 2024, chủ yếu nhắm đến người dùng ở Đông Nam Á và Trung Quốc thông qua các ứng dụng bị nhiễm ngụy trang dưới dạng các mod TikTok, trình theo dõi danh mục tiền điện tử, trò chơi cờ bạc và các ứng dụng nội dung người lớn yêu cầu quyền truy cập vào thư viện ảnh dưới những lý do có vẻ hợp pháp.
Những kẻ tội phạm mạng này đã thành công trong việc vượt qua các biện pháp bảo mật của cửa hàng ứng dụng chính thức để triển khai các ứng dụng bị nhiễm trông có vẻ hợp pháp với cả các quy trình sàng lọc tự động và đánh giá của con người.
Hai ví dụ nổi bật bao gồm Soex Wallet Tracker, ngụy trang dưới dạng ứng dụng quản lý danh mục đầu tư và đã được tải xuống hơn 5.000 lần từ Google Play, và Coin Wallet Pro, tự quảng cáo là một ví đa chuỗi an toàn trước khi được quảng bá qua các quảng cáo trên mạng xã hội và các kênh Telegram.
Cách mà SparkKitty đánh cắp cụm từ hạt giống đã né tránh sự phát hiện trên IOS và Android
Trên các thiết bị iOS, phần mềm độc hại thường ngụy trang dưới dạng các phiên bản đã chỉnh sửa của các khung phổ biến như AFNetworking hoặc Alamofire, khai thác hệ thống hồ sơ cấp phép doanh nghiệp của Apple cho phép các tổ chức phân phối ứng dụng nội bộ mà không cần sự chấp thuận của App Store.
Trong khi hợp pháp cho việc sử dụng doanh nghiệp, những hồ sơ Doanh nghiệp này đã cung cấp cho các tội phạm mạng một con đường để cài đặt các ứng dụng không có chữ ký có thể vượt qua các quy trình sàng lọc bảo mật tiêu chuẩn của Apple.
Thực tế, họ còn đi xa đến mức tạo ra các phiên bản đã chỉnh sửa của các thư viện mã nguồn mở hợp pháp mà vẫn giữ nguyên chức năng ban đầu trong khi thêm các khả năng độc hại.
SparkKitty: Tên dễ thương, Mối đe dọa LỚN
“Em trai” mới của phần mềm độc hại SparkCat ẩn mình trong các ứng dụng giả mạo trên Google Play & App Store—đánh cắp tất cả các ảnh của bạn, bao gồm cả ảnh chụp màn hình nhạy cảm.
Bảo vệ bản thân:
Sử dụng lưu trữ mã hóa
Quét với #KasperskyPremium
Chi tiết:… pic.twitter.com/p3PeRGZnp7
— Kaspersky (@kaspersky) Ngày 23 tháng 6 năm 2025
Khung AFNetworking bị hỏng, chẳng hạn, vẫn duy trì khả năng mạng ban đầu của nó trong khi bí mật tích hợp chức năng đánh cắp ảnh thông qua một lớp AFImageDownloaderTool ẩn được kích hoạt trong quá trình tải ứng dụng thông qua cơ chế lựa chọn tải tự động của Objective-C.
Cách tiếp cận này cho phép phần mềm độc hại giữ im lặng cho đến khi các điều kiện cụ thể được đáp ứng, chẳng hạn như người dùng điều hướng đến màn hình trò chuyện hỗ trợ nơi mà các yêu cầu truy cập ảnh sẽ xuất hiện tự nhiên và ít đáng ngờ hơn.
Trên các nền tảng Android, phần mềm độc hại áp dụng các phương thức phân phối tinh vi tương tự, nhúng mã độc trực tiếp vào các điểm vào ứng dụng trong khi sử dụng các chủ đề tiền điện tử hợp pháp để thu hút nạn nhân mục tiêu.
Công nghệ OCR biến ảnh thành mỏ vàng số
Tính năng nguy hiểm nhất của SparkKitty là công nghệ nhận dạng ký tự quang học tinh vi của nó, tự động xác định và trích xuất thông tin liên quan đến tiền điện tử từ thư viện ảnh của nạn nhân mà không yêu cầu kẻ tấn công phải xem xét chúng một cách thủ công.
Khác với các phần mềm độc hại di động trước đây dựa vào việc đánh cắp ảnh hàng loạt và phân tích thủ công, SparkKitty sử dụng tích hợp thư viện Google ML (Machine Learning) Kit để quét hình ảnh tìm các mẫu văn bản. Nó cụ thể tìm kiếm các cụm từ hạt giống, khóa riêng và địa chỉ ví mà người dùng thường chụp màn hình để sao lưu mặc dù có các khuyến cáo an ninh chống lại các thực hành như vậy.
Như Kaspersky đã giải thích, việc triển khai OCR của phần mềm độc hại cho thấy khả năng nhận dạng mẫu tiên tiến. Nó tự động lọc hình ảnh dựa trên nội dung văn bản và chỉ gửi những hình ảnh chứa thông tin liên quan đến tiền điện tử đến các máy chủ chỉ huy và điều khiển.
Hệ thống tìm kiếm các khối văn bản cụ thể chứa số lượng từ tối thiểu và các yêu cầu ký tự, hiệu quả phân biệt giữa ảnh thông thường và thông tin tài chính có giá trị.
Cách tiếp cận có mục tiêu này giảm yêu cầu truyền tải dữ liệu trong khi tối đa hóa giá trị của thông tin bị đánh cắp, cho phép kẻ tấn công xử lý các nhóm nạn nhân lớn hơn một cách hiệu quả.
Các chiến dịch liên quan được phát hiện trong cuộc điều tra của Kaspersky đã tiết lộ những triển khai tinh vi hơn, bao gồm các phiên bản nhắm vào quy trình sao lưu bằng cách hiển thị cảnh báo an ninh giả mạo yêu cầu người dùng “sao lưu khóa ví của bạn trong cài đặt trong vòng 12 giờ” hoặc nguy cơ mất quyền truy cập vào ví của họ.
Những lớp kỹ thuật xã hội này hướng dẫn nạn nhân truy cập vào các cụm từ hạt giống của họ, cho phép Logger Truy cập của phần mềm độc hại ghi lại thông tin trực tiếp thay vì chỉ dựa vào các ảnh chụp màn hình hiện có.
Các tác động rộng hơn không chỉ dừng lại ở việc đánh cắp cá nhân mà còn bao gồm các hoạt động khai thác tiền điện tử có hệ thống, như đã được chứng minh bởi các chiến dịch liên quan như nhóm Librarian Ghouls APT kết hợp việc đánh cắp thông tin đăng nhập với khai thác Monero trái phép trên các thiết bị bị xâm phạm.
Nhóm APT Librarian Ghouls đã biến các máy tính doanh nghiệp Nga thành các hoạt động khai thác tiền điện tử bí mật trong khi đánh cắp thông tin đăng nhập ví và khóa riêng thông qua các chiến dịch lừa đảo tinh vi nhắm vào các doanh nghiệp công nghiệp. #CryptoHack …https://t.co/nslftE8bL6
— Cryptonews.com (@cryptonews) Ngày 11 tháng 6 năm 2025
Những cuộc tấn công đa mục đích này tạo ra các dòng doanh thu liên tục cho các tội phạm mạng, những người đánh cắp tài sản tiền điện tử hiện có và sử dụng tài nguyên tính toán của nạn nhân để khai thác các tài sản kỹ thuật số bổ sung. Do đó, các thiết bị bị xâm phạm trở thành cơ sở hạ tầng tạo ra lợi nhuận trong thời gian dài.
Bài viết Kaspersky Cảnh báo Phần mềm độc hại Crypto Mới Đánh cắp Ảnh chụp màn hình Cụm từ Hạt giống Từ iOS và Android lần đầu tiên xuất hiện trên Cryptonews.
