Phần mềm độc hại “cài cắm” vào ứng dụng tiền điện tử
Phần mềm độc hại - SparkKitty được cài cắm trong các ứng dụng có nội dung liên quan đến tiền điện tử, phiên bản giả mạo TikTok.
Các chuyên gia từ Kaspersky vừa phát hiện một phần mềm độc có tên là SparkKitty. Loại mã độc này được thiết kế để tấn công điện thoại thông minh sử dụng hệ điều hành iOS và Android, sau đó gửi hình ảnh và thông tin thiết bị từ điện thoại bị lây nhiễm về máy chủ của kẻ tấn công.
SparkKitty được cài cắm trong các ứng dụng có nội dung liên quan đến tiền điện tử, trò chơi cá cược hay một phiên bản giả mạo của ứng dụng TikTok. Theo phân tích của các chuyên gia, mục tiêu của chiến dịch này có thể là đánh cắp tiền điện tử của người dùng khu vực Đông Nam Á và Trung Quốc.
Kaspersky đã gửi thông báo tới Google và Apple để xử lý các ứng dụng độc hại nói trên. Một số chi tiết kỹ thuật cho thấy chiến dịch tấn công mới này có liên quan tới SparkCat - mã độc đầu tiên trên nền tảng iOS có module nhận dạng ký tự quang học tích hợp (OCR) để quét thư viện ảnh người dùng, đánh cắp ảnh chụp màn hình có chứa mật khẩu hoặc cụm từ khôi phục ví tiền điện tử.
Sau SparkCat, đây là lần thứ hai trong năm các nhà nghiên cứu tại Kaspersky phát hiện mã độc dạng đánh cắp thông tin (Trojan stealer) trên App Store. Ngoài việc ngụy trang thành một ứng dụng liên quan đến tiền điện tử, trên các trang web lừa đảo được thiết kế giả mạo giao diện App Store của iPhone, tội phạm mạng còn phát tán mã độc này dưới vỏ bọc ứng dụng TikTok và một số trò chơi cá cược.
Sergey Puzan - chuyên gia phân tích mã độc tại Kaspersky cho biết: Các trang web giả mạo là một trong những kênh phổ biến để phát tán mã độc Trojan, nơi tin tặc tìm cách lừa người dùng truy cập và cài đặt phần mềm độc hại lên iPhone. Còn trên hệ điều hành iOS, vẫn tồn tại một số phương thức hợp pháp để người dùng cài đặt ứng dụng từ bên ngoài App Store. Trong chiến dịch tấn công lần này, tin tặc đã lợi dụng một công cụ dành cho nhà phát triển - vốn được thiết kế để cài ứng dụng nội bộ trong doanh nghiệp.
Bên cạnh đó, trong phiên bản TikTok bị nhiễm mã độc, ngay sau khi người dùng đăng nhập, mã độc lập tức đánh cắp ảnh trong thư viện điện thoại và bí mật chèn một đường link lạ vào trang cá nhân của nạn nhân. Đáng lo ngại là đường link này dẫn đến một cửa hàng chỉ chấp nhận thanh toán bằng tiền điện tử.
Trên hệ điều hành Android, kẻ tấn công nhắm đến người dùng trên cả Google Play và các trang web bên thứ ba. Mã độc được nguỵ trang dưới dạng các dịch vụ liên quan đến tiền điện tử như SOEX - ứng dụng nhắn tin tích hợp chức năng giao dịch tiền mã hóa với hơn 10.000 lượt tải xuống từ cửa hàng chính thức.
Theo chuyên gia phân tích mã độc tại Kaspersky cho biết: sau khi cài đặt, các ứng dụng này hoạt động đúng như mô tả ban đầu. Tuy nhiên, trong lúc cài đặt, mã độc âm thầm xâm nhập vào thiết bị và tự động gửi hình ảnh từ thư viện của nạn nhân về kẻ tấn công. Cũng giống như cách mã độc nguỵ trang và tấn công đánh cắp thông tin trên App Store, các cuộc tấn công trên Android đều nhắm chiếm đoạt tiền số.
Để tránh trở thành nạn nhân của phần mềm độc hại này, Kaspersky khuyến nghị người dùng không nên lưu trữ ảnh chụp màn hình chứa thông tin nhạy cảm vào thư viện ảnh, nhất là hình ảnh có các đoạn mã khôi phục ví tiền điện tử. Thay vào đó có thể lưu trữ thông tin đăng nhập trong các ứng dụng quản lý mật khẩu chuyên dụng.
Khi ứng dụng yêu cầu quyền truy cập vào thư viện ảnh, người dùng nên cân nhắc kỹ lưỡng xem quyền này có thật sự cần thiết cho chức năng chính của ứng dụng hay không. Đồng thời, cài đặt phần mềm bảo mật đáng tin cậy để ngăn chặn nguy cơ nhiễm mã độc.
Nếu lỡ cài đặt một trong các ứng dụng nhiễm mã độc, hãy nhanh chóng gỡ bỏ ứng dụng khỏi thiết bị và không sử dụng lại cho đến khi có bản cập nhật chính thức nhằm loại bỏ hoàn toàn tính năng độc hại.