Mã độc chưa từng thấy này là một Trojan đánh cắp dữ liệu có tên gọi là SparkCat - Ảnh: KASPERSKY
Ngày 6-2, Hãng bảo mật Kaspersky “bật mí” mã độc chưa từng thấy này là một Trojan đánh cắp dữ liệu có tên gọi là SparkCat. Đây là trường hợp đầu tiên được ghi nhận về malware (phần mềm độc hại) dựa trên nhận dạng quang học xuất hiện trên kho ứng dụng App Store.
Theo Kaspersky, SparkCat sử dụng công nghệ học máy (Machine Learning) để quét thư viện ảnh và đánh cắp ảnh chụp màn hình chứa các cụm từ khôi phục ví tiền điện tử. SparkCat cũng có thể tìm và trích xuất dữ liệu nhạy cảm khác trong hình ảnh, chẳng hạn như mật khẩu.
Malware không chỉ ẩn mình trong các ứng dụng hợp pháp bị nhiễm sẵn mã độc, mà còn trong các ứng dụng mồi nhử (lures) - như ứng dụng nhắn tin, trợ lý AI, giao đồ ăn, ứng dụng liên quan đến tiền điện tử…
Mục tiêu chính của hacker khi dùng mã độc nêu trên là để tìm các cụm từ khôi phục ví tiền điện tử. Với thông tin này, kẻ xấu có thể chiếm đoạt toàn quyền kiểm soát ví điện tử của nạn nhân và đánh cắp tiền.
Ngoài việc đánh cắp các cụm từ khôi phục, malware này còn có khả năng trích xuất các thông tin cá nhân khác từ ảnh chụp màn hình, chẳng hạn như tin nhắn và mật khẩu.
“Đây là lần đầu tiên chúng tôi phát hiện một Trojan sử dụng công nghệ nhận dạng ký tự quang học (OCR) xâm nhập vào hệ thống App Store”, ông Sergey Puzan, chuyên gia phân tích phần mềm độc hại tại Kaspersky, cho biết. “Hiện tại, chúng tôi vẫn chưa rõ cách thức các ứng dụng nhiễm mã độc vượt qua các vòng kiểm tra của App Store và Google Play để đến tay người dùng cuối”.
Còn theo ông Dmitry Kalinin - chuyên gia phân tích phần mềm độc hại khác tại Kaspersky, SparkCat có một số đặc điểm đáng chú ý khiến khả năng lây lan trở nên nguy hiểm hơn bao giờ hết.
Trước hết, mã độc SparkCat ẩn giấu trong các ứng dụng chính thức từ các cửa hàng ứng dụng và hoạt động mà không để lại dấu hiệu nghi ngờ rõ ràng. Sự ẩn mình của Trojan này khiến cả người kiểm duyệt ứng dụng và người dùng di động khó phát hiện.
Ngoài ra, các quyền mà Trojan yêu cầu khá hợp lý, khiến người dùng dễ dàng bỏ qua, đơn cử như quyền truy cập vào thư viện ảnh. Bởi ai nấy cũng cho rằng ứng dụng cần được cấp quyền này để vận hành trở nên thuận lợi hơn, ví dụ như khi liên hệ với bộ phận hỗ trợ khách hàng…
Mã độc xuất xứ từ Trung Quốc?
Khi phân tích các phiên bản trên Android của malware, các chuyên gia của Kaspersky đã tìm thấy các bình luận trong malware được viết bằng tiếng Trung.
Thêm vào đó, phiên bản iOS chứa tên thư mục gốc của nhà phát triển là “qiongwu” và “quiwengjing”, cho thấy những kẻ xấu đứng sau chiến dịch tấn công này thông thạo tiếng Trung.
Tuy nhiên, hiện không có đủ bằng chứng để quy kết chiến dịch do nhóm tội phạm mạng nào khởi xướng.
Đăng ký tại đây
Bình luận hay