Các nhà nghiên cứu của Kaspersky đã phát hiện khoảng mười ứng dụng bị nhiễm trên App Store và Play Store. Các ứng dụng Android và iOS này được thiết kế để đánh cắp tiền điện tử từ người dùng điện thoại thông minh. Để thực hiện điều này, chúng sẽ chiếm đoạt thông tin xác thực cung cấp quyền truy cập vào ví của các nhà đầu tư trên blockchain.
Trong mã ứng dụng, Kaspersky đã phát hiện ra một bộ công cụ phát triển phần mềm độc hại có tên SparkCat. Bộ công cụ này được lập trình để lấy được "cụm từ khôi phục" trong ví của người dùng. Đây là chuỗi các từ ngẫu nhiên có thể được sử dụng để khôi phục quyền truy cập vào ví tiền điện tử nếu thiết bị hoặc thông tin đăng nhập bị mất. Nó được tạo ra khi ví được tạo trên blockchain.
Với cụm từ khôi phục này, tội phạm mạng sẽ có thể truy cập vào ví của người dùng. Khi đã vào ví, họ sẽ được tự do chuyển tài sản kỹ thuật số sang các địa chỉ khác. Mặc dù có thể theo dõi được tiền, nhưng nạn nhân có thể phải nói lời tạm biệt với tài sản của mình.
Cụ thể, bộ dụng cụ này được trang bị mô-đun OCR (Nhận dạng ký tự quang học) để phân tích hình ảnh được lưu trữ trên thiết bị và trích xuất văn bản từ chúng. Mô-đun sẽ tìm kiếm qua các hình ảnh được lưu trữ trên điện thoại thông minh để tìm cụm từ khôi phục.
Đây là lý do tại sao bạn không bao giờ nên chụp ảnh màn hình cụm từ khôi phục hoặc khóa riêng tư của mình. Theo Kaspersky, bộ công cụ SparkCat "tải các mô hình OCR khác nhau tùy thuộc vào ngôn ngữ hệ thống để phân biệt các ký tự tiếng Latin, tiếng Hàn, tiếng Trung và tiếng Nhật trong hình ảnh.".
Phần mềm độc hại này lần đầu tiên được phát hiện trong tổng số 18 ứng dụng, bao gồm mười ứng dụng iOS và tám ứng dụng Android. Trên Play Store, các ứng dụng bị nhiễm đã được tải xuống hơn 242.000 lần.
Rõ ràng đây không phải là lần đầu tiên các ứng dụng Android gian lận gây nguy hiểm cho tiền điện tử của người dùng. Tuy nhiên, đây là "trường hợp đầu tiên được biết đến về việc phát hiện ra kẻ trộm trong App Store". Công ty Nga này nhấn mạnh rằng đây cũng là "trường hợp đầu tiên được biết đến về việc do thám OCR trong Apple Store".
Kaspersky đã cảnh báo Apple và Google về sự hiện diện của các ứng dụng bị nhiễm trong các cửa hàng chính thức của họ. Mặc dù vậy, một số ứng dụng vẫn còn hiện diện trên nền tảng này. Vào thời điểm viết bài, Kaspersky phát hiện ra rằng một số ứng dụng đã bị xóa khỏi Apple App Store.
Ngay sau đó, Apple đã dọn dẹp cửa hàng ứng dụng iOS bằng cách xóa tất cả các ứng dụng bị nhiễm. Tổng cộng có mười một ứng dụng ban đầu bị cấm khỏi App Store. Trong quá trình này, Apple đã tìm thấy 89 ứng dụng iOS khác có cùng mã độc hại. Chúng cũng đã bị xóa. Tài khoản của nhà phát triển đã bị thu hồi.
Kaspersky tin rằng phần mềm độc hại có thể đã được thêm vào như một phần của cuộc tấn công chuỗi cung ứng. Không có bằng chứng nào cho thấy các nhà phát triển biết về sự hiện diện của vi-rút trong mã ứng dụng của họ. Mọi thứ đều cho thấy những kẻ chủ mưu của chiến dịch này đến từ Trung Quốc.
Chúng tôi khuyên bạn nên hình thành thói quen tốt khi lưu trữ tài sản tiền điện tử. Ví dụ, hãy chọn ví lưu trữ lạnh vật lý, ví này sẽ bảo vệ bạn khỏi các cuộc tấn công mạng.
Nguồn: Kaspersky
Cụm từ khôi phục bị chặn
Trong mã ứng dụng, Kaspersky đã phát hiện ra một bộ công cụ phát triển phần mềm độc hại có tên SparkCat. Bộ công cụ này được lập trình để lấy được "cụm từ khôi phục" trong ví của người dùng. Đây là chuỗi các từ ngẫu nhiên có thể được sử dụng để khôi phục quyền truy cập vào ví tiền điện tử nếu thiết bị hoặc thông tin đăng nhập bị mất. Nó được tạo ra khi ví được tạo trên blockchain.
Với cụm từ khôi phục này, tội phạm mạng sẽ có thể truy cập vào ví của người dùng. Khi đã vào ví, họ sẽ được tự do chuyển tài sản kỹ thuật số sang các địa chỉ khác. Mặc dù có thể theo dõi được tiền, nhưng nạn nhân có thể phải nói lời tạm biệt với tài sản của mình.
Một loại vi-rút tìm kiếm hình ảnh của bạn
Cụ thể, bộ dụng cụ này được trang bị mô-đun OCR (Nhận dạng ký tự quang học) để phân tích hình ảnh được lưu trữ trên thiết bị và trích xuất văn bản từ chúng. Mô-đun sẽ tìm kiếm qua các hình ảnh được lưu trữ trên điện thoại thông minh để tìm cụm từ khôi phục.
Đây là lý do tại sao bạn không bao giờ nên chụp ảnh màn hình cụm từ khôi phục hoặc khóa riêng tư của mình. Theo Kaspersky, bộ công cụ SparkCat "tải các mô hình OCR khác nhau tùy thuộc vào ngôn ngữ hệ thống để phân biệt các ký tự tiếng Latin, tiếng Hàn, tiếng Trung và tiếng Nhật trong hình ảnh.".
Lần đầu tiên trên App Store
Phần mềm độc hại này lần đầu tiên được phát hiện trong tổng số 18 ứng dụng, bao gồm mười ứng dụng iOS và tám ứng dụng Android. Trên Play Store, các ứng dụng bị nhiễm đã được tải xuống hơn 242.000 lần.
Rõ ràng đây không phải là lần đầu tiên các ứng dụng Android gian lận gây nguy hiểm cho tiền điện tử của người dùng. Tuy nhiên, đây là "trường hợp đầu tiên được biết đến về việc phát hiện ra kẻ trộm trong App Store". Công ty Nga này nhấn mạnh rằng đây cũng là "trường hợp đầu tiên được biết đến về việc do thám OCR trong Apple Store".
Kaspersky đã cảnh báo Apple và Google về sự hiện diện của các ứng dụng bị nhiễm trong các cửa hàng chính thức của họ. Mặc dù vậy, một số ứng dụng vẫn còn hiện diện trên nền tảng này. Vào thời điểm viết bài, Kaspersky phát hiện ra rằng một số ứng dụng đã bị xóa khỏi Apple App Store.
Apple dọn dẹp: 89 ứng dụng bị cấm khỏi App Store
Ngay sau đó, Apple đã dọn dẹp cửa hàng ứng dụng iOS bằng cách xóa tất cả các ứng dụng bị nhiễm. Tổng cộng có mười một ứng dụng ban đầu bị cấm khỏi App Store. Trong quá trình này, Apple đã tìm thấy 89 ứng dụng iOS khác có cùng mã độc hại. Chúng cũng đã bị xóa. Tài khoản của nhà phát triển đã bị thu hồi.
Kaspersky tin rằng phần mềm độc hại có thể đã được thêm vào như một phần của cuộc tấn công chuỗi cung ứng. Không có bằng chứng nào cho thấy các nhà phát triển biết về sự hiện diện của vi-rút trong mã ứng dụng của họ. Mọi thứ đều cho thấy những kẻ chủ mưu của chiến dịch này đến từ Trung Quốc.
Chúng tôi khuyên bạn nên hình thành thói quen tốt khi lưu trữ tài sản tiền điện tử. Ví dụ, hãy chọn ví lưu trữ lạnh vật lý, ví này sẽ bảo vệ bạn khỏi các cuộc tấn công mạng.
Nguồn: Kaspersky
