Theo báo cáo từ Kaspersky, lần đầu tiên một loại malware có khả năng đọc nội dung ảnh chụp màn hình đã bị phát hiện trong các ứng dụng đáng ngờ trên App Store.
Malware SparkCat nhắm đến ví tiền điện tử
Loại malware này có tên SparkCat, được tích hợp công nghệ nhận dạng ký tự quang học (OCR) để xác định thông tin nhạy cảm trong ảnh chụp màn hình của người dùng iPhone. Kaspersky phát hiện các ứng dụng liên quan đến SparkCat chủ yếu nhắm đến việc tìm kiếm cụm từ khôi phục của ví tiền điện tử, từ đó cho phép tin tặc đánh cắp Bitcoin và các loại tiền số khác.
Các ứng dụng này chứa một module độc hại sử dụng OCR plug-in được tạo bằng thư viện Google ML Kit để nhận diện văn bản trong ảnh. Khi phát hiện ảnh chụp liên quan đến ví tiền điện tử, dữ liệu sẽ được gửi đến máy chủ do kẻ tấn công kiểm soát.
Ứng dụng nhiễm mã độc vẫn có mặt trên App Store
Theo Kaspersky, SparkCat đã hoạt động từ tháng 3/2024. Trước đó, các biến thể của loại malware này từng xuất hiện trên Android và PC vào năm 2023, nhưng đây là lần đầu tiên nó lan sang iOS. Một số ứng dụng trên App Store có chứa mã độc OCR này bao gồm ComeCome, WeTink và AnyGPT. Tuy nhiên, vẫn chưa rõ liệu đây là hành động có chủ đích từ nhà phát triển hay hậu quả của một cuộc tấn công chuỗi cung ứng.
Các ứng dụng này yêu cầu quyền truy cập vào thư viện ảnh sau khi được tải về. Nếu người dùng cấp quyền, chúng sẽ quét ảnh để tìm văn bản liên quan. Một số ứng dụng vẫn còn xuất hiện trên App Store, chủ yếu nhắm vào người dùng iOS tại châu Âu và châu Á.
Nguy cơ vượt xa mục tiêu đánh cắp tiền điện tử
Mặc dù malware này được thiết kế để lấy thông tin liên quan đến tiền điện tử, Kaspersky cảnh báo rằng nó đủ linh hoạt để thu thập nhiều dữ liệu khác từ ảnh chụp màn hình, bao gồm cả mật khẩu. Android cũng bị ảnh hưởng bởi mã độc này, nhưng người dùng iOS thường có xu hướng tin tưởng vào khả năng bảo mật của hệ thống hơn.
Apple có quy trình kiểm tra nghiêm ngặt với mọi ứng dụng trên App Store, nhưng sự xuất hiện của SparkCat cho thấy một lỗ hổng trong quá trình xét duyệt. Trong trường hợp này, không có dấu hiệu rõ ràng nào cho thấy ứng dụng có chứa trojan, và các quyền truy cập mà chúng yêu cầu dường như phù hợp với chức năng cốt lõi.
Kaspersky khuyến cáo người dùng không nên lưu trữ ảnh chụp màn hình chứa thông tin nhạy cảm như cụm từ khôi phục ví tiền điện tử trong thư viện ảnh để tránh nguy cơ bị đánh cắp dữ liệu.
Danh sách đầy đủ các framework iOS bị ảnh hưởng có thể được tìm thấy trên trang web của Kaspersky, cùng với thông tin chi tiết về loại malware này.
