Một chiến dịch malware Trojan tinh vi đã nhắm mục tiêu vào người dùng thiết bị di động trên cả nền tảng iOS và Android kể từ tháng 2 năm 2024. Các nhà nghiên cứu an ninh mạng đã xác định đây là một sự leo thang đáng kể trong khả năng đánh cắp ảnh, gây ra những rủi ro nghiêm trọng cho người dùng tiền điện tử và những cá nhân lưu trữ thông tin nhạy cảm trong thư viện thiết bị của họ.
Chiến dịch độc hại này, được các nhà nghiên cứu của Kaspersky xác định là SparkKitty, đại diện cho một sự phát triển đáng báo động trong phương thức phân phối malware trên thiết bị di động. SparkKitty đã chứng tỏ khả năng đáng kinh ngạc khi thành công vượt qua các biện pháp bảo mật nghiêm ngặt trên cả Google Play và Apple App Store, từ đó tiếp cận được vô số người dùng không nghi ngờ trên quy mô lớn.
Tổng quan về Chiến dịch Malware SparkKitty
Mặc dù kiến trúc kỹ thuật của malware SparkKitty không áp đặt bất kỳ giới hạn địa lý nào đối với phạm vi hoạt động của nó, các phân tích đã chỉ ra rằng chiến dịch này chủ yếu nhắm mục tiêu vào người dùng tại khu vực Đông Nam Á và Trung Quốc. Sự tinh vi của SparkKitty không chỉ nằm ở khả năng né tránh các hệ thống kiểm duyệt ứng dụng mà còn ở các phương thức phân phối đa dạng, cho phép nó thâm nhập vào các thiết bị thông qua các kênh tưởng chừng như hợp pháp.
Phương thức Lây nhiễm và Phân phối
Chiến dịch malware SparkKitty đã thể hiện sự tinh vi đáng kể trong các phương thức phân phối, thành công thâm nhập vào các cửa hàng ứng dụng chính thức thông qua việc ngụy trang thành các ứng dụng hợp pháp. Điều này cho phép SparkKitty tiếp cận một lượng lớn người dùng trước khi bị phát hiện và gỡ bỏ.
Nền tảng Android
Trên các thiết bị chạy hệ điều hành Android, SparkKitty đã được phát hiện lây nhiễm thông qua các ứng dụng giả mạo trên Google Play. Một ví dụ điển hình là ứng dụng có tên SOEX. SOEX được quảng cáo là một nền tảng nhắn tin tích hợp các tính năng giao dịch tiền điện tử, thu hút sự chú ý của người dùng quan tâm đến lĩnh vực tài chính số. Trước khi bị gỡ khỏi Google Play, ứng dụng độc hại này đã tích lũy được hơn 10.000 lượt tải xuống, cho thấy mức độ lây lan đáng kể và khả năng đánh lừa người dùng thông qua việc ngụy trang chức năng.
Nền tảng iOS
Đối với các thiết bị của Apple chạy iOS, phương thức lây nhiễm của SparkKitty tinh vi hơn và tận dụng các kẽ hở trong hệ sinh thái. Malware này đã được nhúng vào các framework lừa đảo nhằm bắt chước các thư viện hợp pháp và phổ biến, chẳng hạn như AFNetworking. Bằng cách này, SparkKitty có thể được tích hợp vào các ứng dụng không nghi ngờ hoặc ứng dụng giả mạo, đánh lừa các nhà phát triển hoặc người dùng cuối.
Ngoài ra, SparkKitty còn khai thác các hồ sơ cung cấp doanh nghiệp (enterprise provisioning profiles) của Apple. Đây là một cơ chế hợp pháp cho phép các tổ chức triển khai ứng dụng nội bộ mà không cần thông qua App Store. Kẻ tấn công đã lợi dụng cơ chế này thông qua các ứng dụng độc hại như 币coin, một ứng dụng được thiết kế để theo dõi tiền điện tử. Việc lạm dụng các hồ sơ cung cấp doanh nghiệp cho phép malware cài đặt và chạy trên thiết bị iOS mà không cần sự kiểm duyệt của App Store, tiềm ẩn rủi ro lớn về bảo mật cho các tổ chức và người dùng cá nhân.
Đặc điểm Kỹ thuật và Mục tiêu của SparkKitty
Các nhà nghiên cứu của Kaspersky đã xác định chiến dịch SparkKitty là một sự tiến hóa đáng chú ý của họ malware SparkCat đã được ghi nhận trước đây. Sự phát triển này nhấn mạnh khả năng liên tục đổi mới và tinh chỉnh các vector tấn công nhắm vào thiết bị di động của các tổ chức tội phạm mạng.
Sự Leo Thang trong Khả năng Đánh cắp Dữ liệu
Điểm khác biệt và cũng là sự leo thang đáng kể về khả năng đe dọa của SparkKitty so với người tiền nhiệm SparkCat nằm ở phương pháp đánh cắp dữ liệu. SparkCat được biết đến với việc sử dụng công nghệ nhận dạng ký tự quang học (OCR) để chọn lọc và nhắm mục tiêu vào các hình ảnh cụ thể, thường là những hình ảnh được cho là chứa thông tin nhạy cảm. Ngược lại, chiến dịch SparkKitty hiện tại áp dụng một phương pháp hung hãn và không phân biệt hơn: nó đánh cắp tất cả các hình ảnh có thể truy cập được từ thư viện thiết bị của nạn nhân. Cách tiếp cận “quét sạch” này làm tăng đáng kể khả năng thu thập thông tin nhạy cảm, bao gồm các cụm từ khôi phục ví tiền điện tử (cryptocurrency wallet seed phrases), tài liệu nhận dạng cá nhân, và các hồ sơ tài chính quan trọng.
Cơ chế Hoạt động và Duy trì
Để duy trì hoạt động gián điệp một cách hiệu quả và bền bỉ, SparkKitty đã được thiết kế với các cơ chế tinh vi. Malware này duy trì các cơ sở dữ liệu cục bộ trên thiết bị bị nhiễm nhằm theo dõi các hình ảnh đã được tải lên máy chủ điều khiển và ra lệnh (C2 server). Cơ chế này giúp ngăn chặn việc truyền tải dữ liệu trùng lặp, tối ưu hóa băng thông và làm cho hoạt động đánh cắp dữ liệu trở nên hiệu quả hơn.
Đồng thời, SparkKitty liên tục giám sát các sửa đổi trong thư viện ảnh của thiết bị. Điều này đảm bảo rằng bất kỳ nội dung mới nào được thêm vào thư viện, chẳng hạn như ảnh chụp màn hình mới, ảnh tải về hoặc ảnh được chụp, cũng sẽ nhanh chóng bị phát hiện và đánh cắp. Cách tiếp cận toàn diện này khuếch đại đáng kể tiềm năng lộ dữ liệu nhạy cảm, đặc biệt ảnh hưởng đến người dùng có thói quen lưu trữ ảnh chụp màn hình các thông tin quan trọng như cụm từ khôi phục ví tiền điện tử, chi tiết tài khoản ngân hàng hoặc các tài liệu bí mật khác trong thư viện thiết bị của họ.
Chỉ báo Thỏa hiệp (IOCs)
Các chỉ báo thỏa hiệp liên quan đến chiến dịch SparkKitty, dựa trên các thông tin đã được công bố, bao gồm các tên ứng dụng và họ malware đã được xác định được sử dụng trong chuỗi tấn công:
- Họ Malware: SparkKitty, SparkCat
- Ứng dụng độc hại (Android): SOEX
- Ứng dụng độc hại (iOS): 币coin
- Thư viện bị giả mạo (iOS): AFNetworking
Khuyến nghị Bảo mật
Trước mối đe dọa ngày càng tăng từ các chiến dịch malware tinh vi như SparkKitty, các nhà nghiên cứu bảo mật nhấn mạnh tầm quan trọng của việc thực hiện các biện pháp phòng ngừa chủ động để bảo vệ dữ liệu cá nhân và tài chính:
- Không lưu trữ thông tin nhạy cảm trong thư viện ảnh: Tuyệt đối tránh chụp và lưu trữ ảnh chụp màn hình hoặc bất kỳ hình ảnh nào chứa thông tin nhạy cảm cao trong thư viện thiết bị của bạn. Các thông tin này bao gồm nhưng không giới hạn ở:
- Cụm từ khôi phục ví tiền điện tử (Seed phrases)
- Thông tin đăng nhập, mật khẩu hoặc mã PIN
- Ảnh chụp tài liệu nhận dạng cá nhân (ví dụ: Chứng minh nhân dân/Căn cước công dân, hộ chiếu, bằng lái xe)
- Hồ sơ tài chính, sao kê ngân hàng, hoặc thông tin thẻ tín dụng
- Các tài liệu bí mật khác có thể gây tổn hại nếu bị tiết lộ.
- Tăng cường cảnh giác khi tải ứng dụng: Luôn thực hiện kiểm tra kỹ lưỡng và thận trọng tối đa khi tải xuống các ứng dụng di động, ngay cả khi chúng xuất hiện trên các cửa hàng ứng dụng chính thức như Google Play Store và Apple App Store. Hãy xem xét kỹ các yếu tố sau:
- Đánh giá và bình luận của người dùng: Kiểm tra các đánh giá tiêu cực hoặc đáng ngờ.
- Quyền hạn yêu cầu: Xem xét các quyền hạn mà ứng dụng yêu cầu. Một ứng dụng nhắn tin không nên yêu cầu quyền truy cập đầy đủ vào thư viện ảnh hoặc vị trí của bạn nếu không có lý do rõ ràng.
- Nhà phát triển: Xác minh danh tiếng của nhà phát triển. Ưu tiên các nhà phát triển nổi tiếng và đáng tin cậy.
- Ngày phát hành và cập nhật: Kiểm tra tần suất cập nhật của ứng dụng.
Điều này đặc biệt quan trọng vì SparkKitty đã chứng minh khả năng vượt qua các quy trình kiểm duyệt ứng dụng truyền thống, cho phép các ứng dụng độc hại thâm nhập và lây nhiễm thiết bị người dùng một cách hiệu quả.
- Cập nhật hệ điều hành và ứng dụng: Đảm bảo hệ điều hành và tất cả ứng dụng trên thiết bị của bạn luôn được cập nhật phiên bản mới nhất. Các bản cập nhật thường chứa các bản vá lỗi bảo mật quan trọng giúp bảo vệ thiết bị khỏi các lỗ hổng đã biết.
- Sử dụng giải pháp bảo mật di động: Cân nhắc sử dụng các giải pháp bảo mật di động uy tín (antivirus/anti-malware) từ các nhà cung cấp đáng tin cậy để tăng cường lớp bảo vệ cho thiết bị của bạn.
