Kaspersky phát hiện Trojan mới đánh cắp tiền mã hóa trên App Store và Google Play
Sản phẩm cá nhân
Cho chính phủ, doanh nghiệp vừa & lớn
Doanh nghiệp nhỏ
Kaspersky phát hiện Trojan mới đánh cắp tiền mã hóa trên App Store và Google Play
Trung tâm Nghiên cứu Nguy cơ An ninh mạng của Kaspersky đã phát hiện một Trojan đánh cắp dữ liệu mới, với tên gọi SparkCat, hoạt động trên App Store và Google Play ít nhất từ tháng 3 năm 2024. Đây là trường hợp đầu tiên được ghi nhận về malware (phần mềm độc hại) dựa trên nhận dạng quang học xuất hiện trên App Store. SparkCat sử dụng công nghệ học máy (Machine Learning) để quét thư viện ảnh và đánh cắp ảnh chụp màn hình chứa các cụm từ khôi phục ví tiền điện tử. SparkCat cũng có thể tìm và trích xuất dữ liệu nhạy cảm khác trong hình ảnh, chẳng hạn như mật khẩu.
.jpg "Kaspersky phát hiện Trojan mới đánh cắp tiền mã hóa trên App Store và Google Play")
Kaspersky đã báo cáo các ứng dụng độc hại kể trên cho Google và Apple.
Cách thức lây lan của malware mới
Malware không chỉ ẩn mình trong các ứng dụng hợp pháp bị nhiễm sẵn mã độc, mà còn trong các ứng dụng mồi nhử (lures) - như ứng dụng nhắn tin, trợ lý AI, giao đồ ăn, ứng dụng liên quan đến tiền điện tử, v.v. Một số ứng dụng có thể được tải về từ các nền tảng chính thức trên Google Play và App Store. Dữ liệu đo từ xa của Kaspersky cũng cho thấy các phiên bản ứng dụng bị nhiễm malware còn được phân phối thông qua các nguồn không chính thức khác. Trên Google Play, các ứng dụng này đã được tải xuống hơn 242.000 lần.
Ai là mục tiêu bị malware này tấn công?
Malware chủ yếu nhắm vào người dùng ở UAE và các quốc gia ở châu Âu và châu Á. Đây là kết luận của các chuyên gia dựa trên những thông tin về khu vực hoạt động của các ứng dụng bị nhiễm mã độc và phân tích kỹ thuật về malware. Theo đó, SparkCat quét thư viện ảnh để tìm các từ khóa bằng nhiều ngôn ngữ, bao gồm tiếng Trung, Nhật, Hàn, Anh, Séc, Pháp, Ý, Ba Lan và Bồ Đào Nha. Tuy nhiên, các chuyên gia tin rằng nạn nhân cũng có thể đến từ các quốc gia khác.
 |
 |
|
Ví dụ: ứng dụng giao đồ ăn ComeCome trên iOS đã bị nhiễm malware, với giao diện và chức năng không khác biệt so với phiên bản gốc trên Android |
Một ứng dụng nhắn tin trên App Store là ví dụ điển hình về ứng dụng mồi nhử |
Cách thức hoạt động của SparkCat
Theo kịch bản, sau khi được cài đặt trên thiết bị, phần mềm độc hại này sẽ yêu cầu quyền truy cập vào thư viện ảnh người dùng để xem hết toàn bộ hình ảnh. Sau đó, malware này sẽ sẽ sử dụng một mô-đun nhận dạng ký tự quang học (OCR) để phân tích văn bản, ký tự trong hình ảnh. Nếu trình đánh cắp phát hiện các từ khóa liên quan, SparkCat sẽ gửi hình ảnh đến kẻ tấn công. Mục tiêu chính của hacker là tìm các cụm từ khôi phục cho ví tiền điện tử. Với thông tin này, kẻ xấu có thể chiếm đoạt toàn quyền kiểm soát ví điện tử của nạn nhân và đánh cắp tiền. Ngoài việc đánh cắp các cụm từ khôi phục, malware này còn có khả năng trích xuất các thông tin cá nhân khác từ ảnh chụp màn hình, chẳng hạn như tin nhắn và mật khẩu.
"Đây là lần đầu tiên chúng tôi phát hiện một Trojan sử dụng công nghệ nhận dạng ký tự quang học (OCR) xâm nhập vào hệ thống App Store," ông Sergey Puzan, Chuyên gia phân tích phần mềm độc hại tại Kaspersky, cho biết. "Hiện tại, chúng tôi vẫn chưa rõ cách thức các ứng dụng nhiễm mã độc vượt qua các vòng kiểm tra của App Store và Google Play để đến tay người dùng cuối, hoặc liệu có phương thức khác để chứng minh đây là những ứng dụng đáng tin cậy. Một số ứng dụng, như ứng dụng giao đồ ăn, trông giống như một ứng dụng hợp pháp với những thiết kế mô phỏng giao diện và chức năng của ứng dụng phổ biến, trong khi những ứng dụng mồi nhử lại có những yếu tố rõ rệt, chứng minh chúng được thiết kế với mục đích lừa đảo.”
“SparkCat có một số đặc điểm đáng chú ý, khiến khả năng lây lan trở nên nguy hiểm hơn bao giờ hết. Trước hết, mã độc SparkCat ẩn dấu trong các ứng dụng chính thức từ các cửa hàng ứng dụng và hoạt động mà không để lại dấu hiệu nghi ngờ rõ ràng. Sự ẩn mình của Trojan này khiến cả người kiểm duyệt ứng dụng và người dùng di động khó phát hiện. Ngoài ra, các quyền mà trojan yêu cầu khá hợp lý, khiến người dùng dễ dàng bỏ qua, đơn cử như quyền truy cập vào thư viện ảnh. Bởi ai nấy cũng cho rằng ứng dụng cần được cấp quyền này để vận hành trở nên thuận lợi hơn, ví dụ như khi liên hệ với bộ phận hỗ trợ khách hàng," ông Dmitry Kalinin, Chuyên gia phân tích phần mềm độc hại tại Kaspersky bổ sung.
Khi phân tích các phiên bản trên Android của malware, các chuyên gia của Kaspersky đã tìm thấy các bình luận trong malware được viết bằng tiếng Trung. Thêm vào đó, phiên bản iOS chứa tên thư mục gốc của nhà phát triển, "qiongwu" và "quiwengjing", cho thấy những kẻ xấu đứng sau chiến dịch tấn công này thông thạo tiếng Trung. Tuy nhiên, hiện không có đủ bằng chứng để quy kết chiến dịch do nhóm tội phạm mạng nào khởi xướng.
Các cuộc tấn công an ninh mạng sử dụng công nghệ học máy (ML-powered attacks)
Tội phạm mạng ngày càng chú trọng đến việc tích hợp mạng nơ-ron nhân tạo (Neural Networks) vào các công cụ gây hại. Đối với trường hợp của SparkCat, mô-đun trên hệ điều hành Android giải mã và thực hiện một plugin nhận dạng ký tự quang học (OCR) bằng cách sử dụng thư viện Google ML Kit để nhận diện văn bản trong các hình ảnh được lưu trữ. Phương pháp tương tự cũng được áp dụng trong mô-đun độc hại trên iOS.
Các giải pháp bảo mật của Kaspersky có khả năng bảo vệ cả người dùng Android và iOS khỏi sự lây nhiễm của SparkCat. Phần mềm độc hại này có thể được phát hiện với các mã nhận diện như: HEUR:Trojan.IphoneOS.SparkCat.* và HEUR:Trojan.AndroidOS.SparkCat.*.
Độc giả có thể tìm đọc báo cáo đầy đủ về chiến dịch malware này trên Securelist.
Để tránh trở thành nạn nhân của malware này, Kaspersky khuyến nghị các biện pháp an toàn sau:
Về Kaspersky
Kaspersky là một công ty bảo vệ an ninh mạng và bảo mật kỹ thuật số toàn cầu được thành lập vào năm 1997. Chuyên môn về bảo mật và thông tin về các mối đe dọa sâu của Kaspersky không ngừng chuyển đổi thành các giải pháp và dịch vụ bảo mật đổi mới để bảo vệ doanh nghiệp, cơ sở hạ tầng quan trọng, chính phủ và người tiêu dùng trên toàn cầu. Danh mục bảo mật toàn diện của công ty bao gồm bảo vệ điểm cuối hàng đầu cũng như một số giải pháp và các giải pháp và dịch vụ bảo mật chuyên biệt để chống lại các mối đe dọa kỹ thuật số tinh vi và đang phát triển. Hơn 400 triệu người dùng được bảo vệ bởi các công nghệ của Kaspersky và chúng tôi giúp 220.000 khách hàng doanh nghiệp bảo vệ những gì quan trọng nhất đối với họ.
Năm 2007 Kaspersky ký kết hợp tác chiến lược với NTS Group (www.nts.com.vn) - Nhà phân phối sản phẩm, tích hợp hệ thống, cung cấp dịch vụ kỹ thuật về hệ thống bảo mật hàng đầu tại Việt Nam. Theo thoả thuận này, NTS Group đại diện Kaspersky phát triển thương hiệu Kaspersky, phân phối và hỗ trợ kỹ thuật phần mềm bản quyền Kaspersky trên toàn lãnh thổ Việt Nam. Vui lòng tìm hiểu thêm thông tin tại www.kaspersky.vn hoặc www.kaspersky.nts.com.vn .
.jpg)
Các giải pháp bảo mật của Kaspersky đã ngăn chặn hơn 893 triệu vụ tấn công lừa đảo trong năm 2024 – nhiều hơn 26% so với gần 710 triệu vụ tấn công trong năm 2023. Biểu đồ dưới đây cho thấy số vụ tấn công tăng mạnh trong mùa du lịch từ tháng 5 đến tháng 7. Vào giai đoạn này, tội phạm mạng thường sử dụng các chiêu trò lừa đảo, đánh vào tâm lý của du khách với vé máy bay và đặt phòng khách sạn giả mạo, tour du lịch không có thật và những ưu đãi "hấp dẫn đến mức khó tin".
.jpg)
Trong năm 2024, Kaspersky đã phát hiện 86.233.675 sự cố liên quan đến mối đe dọa tấn công vào thiết bị nội bộ tại Việt Nam. Con số này giảm đáng kể so với 114.802.178 sự cố của năm trước. Điều này đồng nghĩa với việc có đến 52,1% người dùng Việt Nam đã trở thành mục tiêu của các mối đe dọa này.
Những chiêu trò lừa đảo mới nhất theo phương thức này có thể kể đến như giả vờ yêu đương để yêu cầu nạn nhân thanh toán chi phí đi lại, mạo danh doanh nhân giàu có tìm kiếm cơ hội đầu tư, và thậm chí là kẻ lừa đảo tự nhận đại diện cho Illuminati – một hội kín có từ thời kỳ Khai sáng (thế kỷ 17-18).
.jpg)
Theo dữ liệu mới nhất từ báo cáo của Kaspersky Security Network (KSN), trong năm 2024, Kaspersky đã ngăn chặn 19.816.401 mối đe dọa mạng tại Việt Nam. Con số này giảm đáng kể so với tổng số mối đe dọa mạng trong năm 2023 là 29.625.939 vụ.
.jpg)
Kaspersky vừa cho ra mắt khóa học chuyên sâu mới trên nền tảng hàng đầu Kaspersky Automated Security Awareness Platform (Kaspersky ASAP), nhằm nâng cao kỹ năng về an ninh mạng cho đội ngũ nhân viên. Ba khóa học mới được thiết kế nhằm cung cấp kiến thức cơ bản và kỹ năng thực hành cần thiết, giúp nhân viên tự tin ứng phó với các tình huống an ninh mạng ngày càng trở nên phổ biến.
