Trojan tinh vi vượt qua bảo mật của Apple và Google để thu thập cụm từ khởi tạo tiền điện tử từ ảnh thiết bị di động, đánh dấu bước leo thang đáng kể trong các cuộc tấn công nhắm mục tiêu vào tiền điện tử.
Các nhà nghiên cứu an ninh mạng tại Kaspersky đã phát hiện một chiến dịch mã độc di động mới tinh vi có tên "SparkKitty" đã thành công xâm nhập vào Cửa hàng ứng dụng của Apple và Cửa hàng Play của Google, làm tổn thương hơn 5.000 người dùng tiền điện tử tại Trung Quốc và Đông Nam Á.
Mã độc tập trung vào việc đánh cắp ảnh chụp màn hình của cụm từ khởi tạo ví được lưu trữ trong thư viện ảnh di động, biểu thị một sự tiến hóa đáng kể trong các cuộc tấn công nhắm mục tiêu vào tiền điện tử, khai thác các lỗ hổng bảo mật di động cơ bản.
Mã độc đã hoạt động ít nhất từ đầu năm 2024, theo báo cáo an ninh mới nhất của Kaspersky công bố tuần này. Không giống như các phương pháp phát tán mã độc truyền thống, SparkKitty đạt được thành công đáng kể bằng cách nhúng mình vào các ứng dụng trông có vẻ hợp pháp trên cả hai nền tảng di động lớn, bao gồm các công cụ theo dõi giá tiền điện tử, ứng dụng cờ bạc, và các phiên bản sửa đổi của ứng dụng truyền thông xã hội phổ biến như TikTok.
Khía cạnh đáng lo ngại nhất của chiến dịch này là việc phá vỡ thành công quy trình xem xét nghiêm ngặt của Apple và hệ thống bảo mật Play Protect của Google. Một ứng dụng nhắn tin bị nhiễm, SOEX, đã đạt hơn 10.000 lượt tải trước khi bị phát hiện và loại bỏ, thể hiện khả năng của mã độc hoạt động không bị phát hiện trong hệ sinh thái ứng dụng chính thức trong một thời gian dài.
Phương pháp Thu thập Dữ liệu Nâng cao
SparkKitty đại diện cho một tiến bộ kỹ thuật quan trọng so với người tiền nhiệm của nó, SparkCat, được xác định lần đầu tiên vào tháng 1 năm 2025. Không giống như mã độc truyền thống chỉ nhắm vào dữ liệu nhạy cảm chọn lọc, SparkKitty đánh cắp tất cả hình ảnh từ thiết bị bị nhiễm mà không phân biệt, tạo ra cơ sở dữ liệu toàn diện về ảnh người dùng sau đó được tải lên máy chủ từ xa để phân tích.
Mã độc hoạt động thông qua một quy trình nhiều giai đoạn tinh vi. Khi cài đặt bằng các hồ sơ cấu hình đánh lừa, SparkKitty yêu cầu quyền truy cập thư viện ảnh tiêu chuẩn - một yêu cầu mà hầu hết người dùng thường thấy bình thường. Sau khi được cấp quyền truy cập, trojan liên tục giám sát thư viện ảnh của thiết bị để thay đổi, tạo cơ sở dữ liệu cục bộ của các hình ảnh đã chụp trước khi truyền chúng đến các máy chủ do kẻ tấn công kiếm soát.
Các nhà nghiên cứu Kaspersky nhấn mạnh rằng mục tiêu chính của kẻ tấn công dường như là xác định và trích xuất cụm từ khởi tạo ví tiền điện tử từ các ảnh chụp màn hình được lưu trữ trên các thiết bị bị nhiễm. Các cụm từ khôi phục 12-24 từ này cung cấp quyền truy cập hoàn toàn vào tài sản kỹ thuật số của người dùng, khiến chúng trở thành mục tiêu cực kỳ có giá trị cho tội phạm mạng.
Sự xuất hiện của SparkKitty diễn ra trong bối cảnh tội phạm mạng nhắm vào tiền điện tử leo thang. Theo phân tích của TRM Labs năm 2024, gần 70% trong tổng số 2,2 tỷ đô la tiền điện tử bị đánh cắp là kết quả của các cuộc tấn công hạ tầng, đặc biệt là những cuộc tấn công liên quan đến việc đánh cắp khóa cá nhân và cụm từ khởi tạo. Riêng tháng 1 năm 2025, 9.220 nạn nhân đã mất 10,25 triệu đô la do các vụ lừa đảo phishing tiền điện tử, nhấn mạnh tính liên tục và biến hóa của các mối đe dọa nhắm vào tiền điện tử.
Tâm điểm địa lý hiện tại của mã độc ở Trung Quốc và Đông Nam Á phản ánh các xu hướng rộng hơn trong việc áp dụng tiền điện tử và mục tiêu của tội phạm mạng. Tuy nhiên, các chuyên gia an ninh cảnh báo rằng khả năng kỹ thuật của SparkKitty và hiệu quả đã được chứng minh khiến việc mở rộng trên toàn cầu trở nên rất có khả năng xảy ra. Khả năng của mã độc xâm nhập vào các cửa hàng ứng dụng chính thức gợi ý rằng không có hệ sinh thái di động nào miễn nhiễm với các cuộc tấn công nhắm mục tiêu vào tiền điện tử tinh vi.
Tiến hóa Kỹ thuật và Quy trách Nhiệm
Phân tích pháp y tiết lộ những kết nối đáng kể giữa SparkKitty và chiến dịch mã độc SparkCat trước đó. Cả hai trojan đều chia sẻ các ký hiệu gỡ lỗi, mẫu cấu trúc mã, và một số ứng dụng vectơ bị xâm nhập, gợi ý sự phát triển phối hợp của cùng nhóm tác nhân mối đe dọa. Tuy nhiên, SparkKitty cho thấy những cải tiến kỹ thuật đáng kể, bao gồm tăng cường khả năng thu thập dữ liệu và cải thiện kỹ thuật né tránh.
SparkCat đặc biệt nhắm mục tiêu đến cụm từ khôi phục ví tiền điện tử bằng cách sử dụng công nghệ nhận dạng ký tự quang học để trích xuất các cụm từ này từ hình ảnh, trong khi SparkKitty áp dụng một cách tiếp cận rộng hơn bằng cách thu thập tất cả dữ liệu hình ảnh có sẵn để xử lý sau. Sự tiến hóa này cho thấy kẻ tấn công đang tối ưu hóa hoạt động của họ để thu thập dữ liệu tối đa trong khi giảm thiểu xử lý trên thiết bị có thể kích hoạt cảnh báo bảo mật.
Chiến dịch SparkKitty phơi bày các lỗ hổng cơ bản trong các thực hành bảo mật tiền điện tử di động. Nhiều người dùng thường xuyên chụp ảnh chụp màn hình cụm từ khởi tạo của họ để tiện lợi, tạo các bản sao kỹ thuật số trở thành mục tiêu hàng đầu cho mã độc như SparkKitty. Thực hành này, mặc dù dễ hiểu từ góc độ trải nghiệm người dùng, tạo ra các lỗ hổng bảo mật quan trọng mà các kẻ tấn công tinh vi ngày càng khai thác.
Các nhà nghiên cứu an ninh nhấn mạnh rằng mối đe dọa không chỉ kéo dài tới các cá nhân người dùng mà còn đối với hệ sinh thái tiền điện tử rộng lớn hơn. Mỗi ngày, 560,000 mảnh mã độc mới được phát hiện, với các nền tảng di động ngày càng trở thành mục tiêu hấp dẫn khi việc áp dụng tiền điện tử tăng tốc trên toàn cầu.
Thành công của mã độc trong việc vượt qua các biện pháp an ninh cửa hàng ứng dụng cũng đặt ra câu hỏi về hiệu quả của các khung an ninh di động hiện tại. Cả Apple và Google đều đã triển khai các quy trình đánh giá tinh vi được thiết kế để ngăn chặn các ứng dụng độc hại tiếp cận người dùng, nhưng sự xâm nhập thành công của SparkKitty cho thấy rằng các kẻ tấn công quyết tâm vẫn có thể né tránh những bảo vệ này.
Phản ứng của ngành và Các biện pháp Phòng thủ
Sau khi Kaspersky tiết lộ, cả Apple và Google đã bắt đầu các thủ tục loại bỏ cho các ứng dụng bị nhiễm SparkKitty đã được xác định. Tuy nhiên, bản chất năng động của mối đe dọa có nghĩa là các biến thể mới có thể tiếp tục xuất hiện, đòi hỏi sự cảnh giác liên tục từ cả các nhà nghiên cứu an ninh và các nhà điều hành cửa hàng ứng dụng.
Các chuyên gia bảo mật tiền điện tử đang khuyến nghị các biện pháp phòng vệ ngay lập tức cho người dùng ví di động. Các khuyến nghị chính bao gồm tránh lưu trữ kỹ thuật số các cụm từ khởi tạo hoàn toàn, sử dụng ví phần cứng cho các khoản nắm giữ quan trọng, và triển khai kiểm tra chặt chẽ quyền ứng dụng. Người dùng được khuyên nên xem xét các thư viện ảnh hiện có để tìm bất kỳ thông tin xác thực ví nào lưu trữ và xóa các hình ảnh đó ngay lập tức.
Sự cố này cũng tạo ra cuộc thảo luận mới về tiêu chuẩn bảo mật tiền điện tử di động. Các nhà lãnh đạo ngành đang kêu gọi yêu cầu bảo mật lớn hơn cho các ứng dụng di động liên quan đến tiền điện tử, bao gồm các cuộc kiểm tra bảo mật bắt buộc và các mẫu quyền nghiêm ngặt hơn cho các ứng dụng xử lý dữ liệu tài chính nhạy cảm.
Trong khi SparkKitty hiện tập trung vào các thị trường châu Á, các chuyên gia an ninh mạng cảnh báo rằng mở rộng toàn cầu dường như không thể tránh khỏi. Hiệu quả đã được chứng minh của mã độc và bản chất phổ quát của việc sử dụng tiền điện tử di động cho thấy rằng các thị trường phương Tây có thể sớm đối mặt với các mối đe dọa tương tự. Đến năm 2025, tội phạm mạng - bao gồm các cuộc tấn công do mã độc điều khiển - có thể khiến nền kinh tế toàn cầu tốn 10,5 nghìn tỷ đô la hàng năm, với mã độc nhắm mục tiêu vào tiền điện tử đại diện cho một thành phần ngày càng tăng của cảnh tướng đe dọa này.
Khả năng thâm nhập tinh vi của SparkKitty vào các cửa hàng ứng dụng cho thấy rằng các chiến dịch tương tự có thể đã đang được thực hiện tại các khu vực khác. Các nhà nghiên cứu an ninh kêu gọi sự hợp tác quốc tế nâng cao trong việc chống lại mã độc tiền điện tử di động, bao gồm việc chia sẻ thông tin cải thiện giữa các nhà điều hành cửa hàng ứng dụng và các tổ chức an ninh mạng.
Đánh giá Mối đe dọa trong Tương lai
Chiến dịch SparkKitty đại diện cho một bước leo thang đáng kể trong các mối đe dọa tiền điện tử di động, kết hợp khả năng kỹ thuật tinh vi với các cơ chế phân phối đã được chứng minh. Khi việc áp dụng tiền điện tử tiếp tục mở rộng trên toàn cầu, các mối đe dọa tương tự có khả năng tăng cả về tần suất và sự tinh vi.
Các chuyên gia bảo mật dự đoán rằng các phiên bản mã độc nhắm mục tiêu vào tiền điện tử trong tương lai có thể sẽ kết hợp các kỹ thuật né tránh bổ sung, bao gồm các phương pháp vượt qua cửa hàng ứng dụng nâng cao và khả năng rút dữ liệu tinh vi hơn. Thành công của phương pháp thu thập ảnh của SparkKitty có thể truyền cảm hứng cho các gia đình mã độc khác chấp nhận các phương pháp tương tự, tạo ra một môi trường đe dọa leo thang đối với người dùng tiền điện tử di động.
Sự cố này nhấn mạnh tầm quan trọng quan trọng của các thực hành bảo mật di động mạnh mẽ cho những người nắm giữ tiền điện tử. Khi giá trị tài sản kỹ thuật số tiếp tục tăng và sự chấp nhận mở rộng, các thiết bị di động ngày càng trở thành mục tiêu hấp dẫn cho các tổ chức tội phạm mạng tinh vi.
Người dùng phải thích nghi với các thực hành bảo mật của họ cho phù hợp, ưu tiên sử dụng ví phần cứng và loại bỏ lưu trữ cụm từ khởi tạo kỹ thuật số để bảo vệ tài sản tiền điện tử của họ khỏi các mối đe dọa mã độc di động đang phát triển.