Malware ăn cắp tiền điện tử được phát hiện trong bộ công cụ tạo ứng dụng Android, iOS: Kaspersky

Kaspersky Labs báo cáo rằng một bộ công cụ phát triển phần mềm cho ứng dụng trên thiết bị Google và Apple chứa malware có khả năng quét hình ảnh để tìm kiếm cụm từ phục hồi ví tiền điện tử.

Update Feb. 10, 7 am UTC: Bài viết này đã được cập nhật để bao gồm phản hồi từ Apple và Google.

Kaspersky Labs báo cáo rằng các bộ công cụ phát triển phần mềm độc hại được sử dụng để tạo ứng dụng cho Google Play Store và Apple App Store có khả năng quét hình ảnh của người dùng để tìm kiếm cụm từ phục hồi ví tiền điện tử, với mục đích rút tiền trong ví.

Vào ngày 4 tháng 2, các nhà phân tích của Kaspersky là Sergey Puzan và Dmitry Kalinin đã nêu chi tiết trong một báo cáo rằng malware, được biết đến với tên SparkCat, khi cài đặt trên một thiết bị, sử dụng nhận diện ký tự quang học (OCR) để tìm kiếm hình ảnh cho các từ khóa cụ thể trong nhiều ngôn ngữ.

"Bọn xâm nhập đánh cắp cụm từ phục hồi cho ví tiền điện tử, điều này cung cấp quyền kiểm soát hoàn toàn đối với ví của nạn nhân để thực hiện trộm cắp thêm,” Puzan và Kalinin giải thích.

“Ngoài ra, malware có thể trích xuất dữ liệu cá nhân khác từ thư viện hình ảnh, bao gồm nội dung tin nhắn và mật khẩu tìm thấy trong ảnh chụp màn hình.”

Các nhà phân tích của Kaspersky khuyên không nên lưu trữ thông tin nhạy cảm trong ảnh chụp màn hình hoặc thư viện ảnh, khuyên dùng trình quản lý mật khẩu. Họ cũng đề xuất gỡ bỏ bất kỳ ứng dụng đáng ngờ hoặc đã bị nhiễm.

Theo Puzan và Kalinin, trên các thiết bị Android, malware tự ngụy trang thành một mô-đun phân tích và sử dụng một thành phần Java có tên là Spark, cùng với một file cấu hình mã hóa được lưu trữ trên GitLab để cung cấp lệnh và cập nhật.

Malware sử dụng một mô-đun mạng dựa trên lòng tin, sử dụng Google ML Kit OCR để trích xuất văn bản từ hình ảnh trên thiết bị bị nhiễm, tìm kiếm các cụm từ phục hồi để truy cập các ví tiền điện tử trên các thiết bị của kẻ tấn công mà không cần biết mật khẩu.

Kaspersky ước tính malware đã được tải xuống khoảng 242.000 lần kể từ khi hoạt động vào khoảng tháng Ba, chủ yếu nhắm vào người dùng ở châu Âu và châu Á.

Malware có mặt trong cả ứng dụng thật và giả trên cửa hàng ứng dụng của Google và Apple, chia sẻ những tính năng tương tự như sử dụng ngôn ngữ lập trình Rust, điều này hiếm thấy trong các ứng dụng di động, khả năng tương thích đa nền tảng và các kỹ thuật làm mờ khiến việc phân tích và phát hiện trở nên khó khăn.

Puzan và Kalinin cho biết vẫn chưa rõ liệu các ứng dụng bị ảnh hưởng có bị nhiễm qua một cuộc tấn công chuỗi cung ứng hay do các nhà phát triển cố ý tích hợp Trojan.

"Một số ứng dụng có vẻ hợp pháp, như dịch vụ giao đồ ăn, trái ngược với các ứng dụng rõ ràng được tạo ra để đánh lừa nạn nhân, bao gồm các ứng dụng nhắn tin có tính năng AI từ cùng một nhà phát triển,” họ nêu.

Người phát ngôn của Google xác nhận rằng các ứng dụng độc hại đã được gỡ bỏ khỏi Google Play. Một bản cập nhật vào ngày 6 và 7 tháng 2 của Kaspersky cũng xác nhận rằng các ứng dụng đã biến mất khỏi cả Google Play và Apple Store.

"Người dùng Android được bảo vệ tự động khỏi các phiên bản đã biết của malware này thông qua Google Play Protect, được bật theo mặc định trên các thiết bị có dịch vụ Google Play," người phát ngôn cho biết thêm.

Apple cho biết đã gỡ bỏ các ứng dụng được đề cập trong báo cáo của Kaspersky khỏi App Store và phát hiện ra rằng 11 ứng dụng chia sẻ chữ ký mã với 89 ứng dụng iOS khác, tất cả đều bị từ chối hoặc gỡ bỏ vì vi phạm các điều khoản liên quan đến gian lận, và tài khoản nhà phát triển cũng đã bị chấm dứt.

Puzan và Kalinin cho biết nguồn gốc của malware không rõ ràng và không thể kết nối nó với bất kỳ nhóm có uy tín nào, mặc dù nó có nhiều điểm tương đồng với một chiến dịch khác được các nhà nghiên cứu ESET phát hiện vào tháng Ba năm 2023.

Tuy nhiên, họ đã nhận thấy sự hiện diện của các bình luận và mô tả lỗi trong mã bằng tiếng Trung, cho thấy rằng nhà phát triển của mô-đun độc hại có khả năng thông thạo tiếng Trung.

Cả Google và Apple đều không ngay lập tức phản hồi yêu cầu bình luận.

Theo Cointelegraph

Tin khác