Chuyên gia phát hiện phần mềm gián điệp giả mạo thành Ứng dụng đặt hàng, đánh cắp mã hóa ví và cụm từ hỗ trợ.

Chuyên gia chống xâm nhập của Kaspersky đã phát hiện phần mềm gián điệp ẩn trong cửa hàng Apple, một ứng dụng đặt hàng iOS có tên là ComeCome, ứng dụng đặt hàng này cũng có thể được tải xuống từ Google Play, mục đích là đánh cắp cụm từ ghi nhớ của ví Tiền điện tử của người dùng để lấy cắp Tiền điện tử.

Chuyên gia phân tích của Kaspersky, Dmitry Kalinin và Sergey Puzan, cho biết ứng dụng này còn chuyển khóa tiền điện tử của nạn nhân cho nhóm lừa đảo. Theo các nhà nghiên cứu của Kaspersky, ứng dụng đặt hàng này đã được nhúng SDK độc hại, có thể mở khóa plugin nhận dạng ký tự quang học (OCR) vào bất kỳ thời điểm nào. Khi mã OCR bắt đầu hoạt động, ứng dụng sẽ quét ảnh chụp màn hình trên thiết bị di động, quét cụm từ hạt giống (Seed Phrase) của ví tiền điện tử, phần mềm gián điệp sau đó đánh cắp cụm từ hạt giống, đánh cắp tiền điện tử trong ví người dùng.

Chuyên gia cũng cho biết do cụm từ hạt giống bị nhóm tội phạm đánh cắp, nhóm tội phạm sau ứng dụng có thể kiểm soát ví tiền điện tử của nạn nhân và chuyển tiền, đó là lý do tại sao cụm từ hạt giống nên được bảo quản cẩn thận và truy cập ngoại tuyến thay vì chỉ dùng ảnh chụp màn hình điện thoại.

Apple đã rút khỏi Ứng dụng Giao hàng Come Come, nhưng đáng sợ là cả Google Play và App Store của Apple đều không nhận ra phần mềm độc hại được tích hợp trong ứng dụng. Hiện tại, trong cửa hàng ứng dụng vẫn có nhiều ứng dụng giống như Come Come, dường như bình thường để người dùng tải xuống. Những ứng dụng này hoàn toàn có thể tránh qua quá trình kiểm duyệt và thậm chí cả cửa hàng Apple được tin tưởng cũng có thể trượt qua quá trình kiểm duyệt. Những ứng dụng này trông giống như các ứng dụng thông thường khác, nhưng bên trong chúng chứa phần mềm độc hại SparkCat, nhằm ăn cắp thông tin nhạy cảm như tài khoản và mật khẩu cũng như ví mã hóa.

Phần mềm độc hại SparkCat được thiết kế đặc biệt để đánh cắp mật khẩu và cụm từ hạt giống

Chuyên gia đã đặt tên phần mềm độc hại đánh cắp cụm từ ghi nhớ là SparkCat và cho biết nó rất linh hoạt, không chỉ có thể đánh cắp cụm từ ghi nhớ mà còn có thể đánh cắp dữ liệu nhạy cảm khác trong thư viện ảnh của điện thoại, như tin nhắn hoặc mật khẩu trong ảnh chụp màn hình điện thoại.

Nhóm Kaspersky cho biết, nhóm tội phạm đã nhắm mục tiêu vào người dùng Android và iOS tại châu Âu và châu Á. Có nhiều ứng dụng trên Google Play Store đã bị nhiễm SparkCat, với số lần tải về lên đến hơn 242.000 lượt.

Không thể xác nhận liệu SparkCat đã xâm nhập vào các ứng dụng này thông qua hacker hay đội ngũ phát triển ứng dụng chính là một nhóm lừa đảo. Apple đã loại bỏ ứng dụng ComeCome khỏi App Store của iOS và Google Play Store cũng đã loại bỏ ứng dụng này. Tuy nhiên, các chuyên gia lo ngại rằng vẫn có rất nhiều ứng dụng kinh doanh có vẻ bình thường vẫn được giấu trong cửa hàng, sẽ được người dùng không biết tải xuống.

SparkCat làm việc như thế nào?

SparkCat là một mô-đun rất phức tạp trong ứng dụng độc hại được gọi là Spark. Phần mềm gián điệp này chủ yếu được viết bằng Java và sử dụng giao thức không xác định và máy chủ điều khiển từ xa bằng Rust để giao tiếp với máy chủ (C2).

Sau khi kết nối với máy chủ C2 của mình, phiên bản Android của Spark sẽ tải xuống và sử dụng trình bao gói của giao diện Nhận dạng Văn bản trong Thư viện ML của Google để trích xuất ký tự từ màn hình, phần mềm độc hại này cũng sẽ tải các mô hình OCR khác nhau tùy thuộc vào ngôn ngữ hệ thống để nhận dạng tiếng Latinh, tiếng Hàn, tiếng Trung hoặc tiếng Nhật trong hình ảnh. Nếu tiếp xúc với ứng dụng này (lưu ý: tương tác thông qua SDK Easemob Help Desk của bên thứ ba hợp lệ), ứng dụng sẽ yêu cầu truy cập thư viện ảnh trên thiết bị di động, nếu kẻ xấu có quyền truy cập, họ sẽ sử dụng OCR quét các ảnh chụp màn hình để đánh cắp cụm từ ghi nhớ của ví mã hóa và gửi chúng đến máy chủ C2.

Làm thế nào để ngăn chặn phần mềm gián điệp độc hại?

Để bảo vệ cụm từ hạt giống của ví mã hóa, hãy ghi chú trên giấy bằng bút, đây là cách cổ điển nhất. Nhiều người sẽ chụp ảnh màn hình bằng điện thoại để tiện lợi, nhưng chuyên gia cho rằng cách này có nguy cơ hơn. Ngoài việc không tải bất kỳ ứng dụng không rõ nguồn gốc nào, bạn cũng nên kiểm tra quyền truy cập của ứng dụng thường xuyên, xem xem chức năng ghi âm, quay video và chụp màn hình có được mở không rõ ràng, nhiều ứng dụng sẽ yêu cầu người dùng mở quyền truy cập này khi tải xuống, nên kiểm tra thường xuyên và tắt quyền truy cập khi không sử dụng ứng dụng, để ngăn ứng dụng của bên thứ ba không thể truy cập vào, đây là cách phòng ngừa cơ bản và dễ dàng hơn.

Bài viết này chuyên gia phát hiện phần mềm gián điệp giả mạo thành Ứng dụng đặt hàng, đánh cắp ví mã hóa cụm từ hạt giống được xuất hiện lần đầu trên Chain News ABMedia.