Trong bối cảnh mối đe dọa mạng ngày càng tinh vi, sự xuất hiện của các phần mềm độc hại đa nền tảng nhắm mục tiêu vào thiết bị di động đang trở thành một thách thức đáng kể. Một trong những mối đe dọa gần đây được phát hiện là SparkKitty, một biến thể Trojan gián điệp được thiết kế để nhắm mục tiêu vào cả thiết bị iOS và Android. Mối đe dọa này nổi bật không chỉ vì khả năng đa nền tảng mà còn vì mục tiêu chuyên biệt: đánh cắp tài sản tiền điện tử, đặc biệt tập trung vào người dùng tại khu vực Đông Nam Á và Trung Quốc.
SparkKitty được các nhà nghiên cứu của Kaspersky phát hiện vào năm 2025. Mục tiêu chính của nó là đánh cắp hình ảnh từ các thiết bị bị nhiễm và trích xuất thông tin thiết bị. Dữ liệu này sau đó được chuyển đến hạ tầng của kẻ tấn công. Đặc biệt nguy hiểm là khả năng thu thập các ảnh chụp màn hình chứa thông tin nhạy cảm, chẳng hạn như cụm từ khôi phục ví tiền điện tử hoặc mật khẩu, điều này có thể dẫn đến việc mất trắng tài sản số của nạn nhân.
Chi tiết kỹ thuật và Mục tiêu chính
SparkKitty hoạt động như một phần mềm gián điệp, thu thập dữ liệu cá nhân từ thiết bị của nạn nhân. Trọng tâm của nó là các bức ảnh và thông tin chi tiết về thiết bị. Thông tin thiết bị có thể bao gồm các định danh duy nhất, thông tin phần cứng, cấu hình hệ điều hành và các chi tiết khác có thể được sử dụng để lập hồ sơ nạn nhân hoặc thực hiện các cuộc tấn công tiếp theo. Mục tiêu cuối cùng là thu lợi tài chính thông qua việc đánh cắp tài sản tiền điện tử, một phân khúc mục tiêu có giá trị cao cho tội phạm mạng.
Phần mềm độc hại này đã được phát hiện tích hợp vào nhiều ứng dụng khác nhau. Các ứng dụng liên quan đến tiền điện tử, chẳng hạn như một ứng dụng có tên 币coin được quảng cáo là theo dõi tỷ giá tiền điện tử, là một trong những mục tiêu chính. Ngoài ra, SparkKitty cũng được tìm thấy trong các ứng dụng cờ bạc và một phiên bản TikTok đã bị Trojan hóa. Việc sử dụng các ứng dụng phổ biến và có sức hấp dẫn lớn như TikTok, hoặc các ứng dụng tài chính như theo dõi tiền điện tử, cho thấy sự tinh vi trong chiến lược lừa đảo và phân phối của nhóm tấn công.
Mối liên hệ với các phần mềm độc hại trước đây
SparkKitty có mối liên hệ mật thiết với SparkCat, một Trojan được phát hiện trước đó. SparkCat đáng chú ý là phần mềm độc hại iOS đầu tiên được biết đến với một mô-đun OCR (Nhận dạng ký tự quang học) tích hợp. Mô-đun này có khả năng quét thư viện hình ảnh để tìm các ảnh chụp màn hình chứa cụm từ khôi phục ví tiền điện tử hoặc mật khẩu. Mặc dù SparkKitty được mô tả là tập trung vào việc đánh cắp hình ảnh nói chung, mối liên hệ với SparkCat cho thấy khả năng phát triển hoặc chia sẻ mã nguồn, hoặc ít nhất là cùng một nhóm tác nhân đe dọa đứng sau cả hai chiến dịch. Đây là lần thứ hai trong vòng một năm Kaspersky phát hiện các Trojan đánh cắp như vậy trên Apple App Store, cho thấy một xu hướng đáng lo ngại về các mối đe dọa liên tục nhắm mục tiêu vào các kho ứng dụng chính thức.
Các phương thức lây nhiễm và phân phối
Việc phân phối SparkKitty được thực hiện qua nhiều kênh khác nhau, bao gồm cả các kho ứng dụng chính thức và các phương thức lừa đảo bên ngoài. Sự hiện diện của phần mềm độc hại trên các nền tảng chính thống như Apple App Store và Google Play Store là một vấn đề nghiêm trọng, làm suy yếu niềm tin của người dùng vào sự an toàn của các ứng dụng được tải xuống từ đây.
Trên các cửa hàng ứng dụng chính thức
- Apple App Store: Phần mềm độc hại được nhúng bên trong ứng dụng 币coin, một ứng dụng theo dõi tỷ giá/tín hiệu giao dịch tiền điện tử. Vẫn chưa rõ liệu đây là một trường hợp thỏa hiệp chuỗi cung ứng (supply-chain compromise), nơi mã độc được chèn vào trong quá trình phát triển hoặc cập nhật ứng dụng hợp pháp, hay là do chính các nhà phát triển ứng dụng cố ý nhúng mã độc.
- Google Play Store: SparkKitty được tìm thấy trong một ứng dụng nhắn tin có tích hợp khả năng giao dịch tiền điện tử. Ứng dụng độc hại này đã có hơn 10.000 lượt cài đặt trước khi bị gỡ bỏ trong quá trình điều tra. Số lượng lượt cài đặt lớn này cho thấy mức độ thành công ban đầu của chiến dịch lừa đảo và tiềm năng gây thiệt hại rộng lớn.
Ngoài các cửa hàng ứng dụng chính thức
Ngoài các kho ứng dụng chính thức, các trang lừa đảo (phishing pages) mô phỏng giao diện của các cửa hàng ứng dụng chính thức cũng được sử dụng để phân phối các ứng dụng độc hại. Điều này bao gồm các phiên bản TikTok và các ứng dụng cờ bạc đã bị Trojan hóa có chứa phần mềm độc hại SparkKitty. Kỹ thuật này thường liên quan đến việc lừa đảo người dùng tải xuống các tệp cài đặt (APK cho Android hoặc thông qua cấu hình tùy chỉnh cho iOS) từ các nguồn không đáng tin cậy, thông qua các liên kết độc hại hoặc tin nhắn lừa đảo.
Khả năng và hành vi
Khả năng chính của SparkKitty xoay quanh việc đánh cắp dữ liệu hình ảnh. Nó có thể thu thập các hình ảnh/ảnh chụp từ thư viện của nạn nhân. Điều này đặc biệt đáng lo ngại vì nhiều người dùng thường lưu trữ các ảnh chụp màn hình chứa thông tin nhạy cảm, bao gồm các khóa riêng tư, cụm từ khôi phục (seed phrases) cho ví tiền điện tử, mã xác thực hai yếu tố, hoặc các tài liệu cá nhân khác. Sau khi thu thập, dữ liệu bị đánh cắp sẽ được gửi về hạ tầng của kẻ tấn công, nơi chúng có thể được phân tích và sử dụng để truy cập vào các tài khoản hoặc tài sản của nạn nhân. Mối nguy hiểm tiềm tàng là việc truy cập trái phép vào các ví tiền điện tử, dẫn đến việc chuyển nhượng trái phép tài sản.
Các chỉ số thỏa hiệp (IOCs)
Hiện tại, các báo cáo không cung cấp các chỉ số thỏa hiệp (IOCs) rõ ràng như hash file, URL của các máy chủ C2 (Command and Control), ví dụ lệnh dòng lệnh (CLI), hoặc các tệp cấu hình liên quan trực tiếp đến SparkKitty. Việc thiếu các IOCs cụ thể này có thể gây khó khăn cho việc phát hiện và phản ứng nhanh chóng đối với các cuộc tấn công sử dụng biến thể phần mềm độc hại này trong các môi trường doanh nghiệp hoặc cá nhân. Tuy nhiên, các thông tin về phương thức phân phối và hành vi của phần mềm độc hại vẫn cung cấp các điểm dữ liệu quan trọng cho các chuyên gia an ninh để triển khai các biện pháp phòng ngừa và giám sát.
Tóm lại, SparkKitty đại diện cho một mối đe dọa đáng kể đối với người dùng di động, đặc biệt là những người tham gia vào thị trường tiền điện tử tại Đông Nam Á và Trung Quốc. Sự kết hợp giữa các phương thức phân phối đa dạng (bao gồm cả các kho ứng dụng chính thức và lừa đảo bên ngoài), khả năng đánh cắp dữ liệu nhạy cảm (đặc biệt là hình ảnh liên quan đến ví tiền điện tử), và mối liên hệ với các phần mềm độc hại trước đây cho thấy đây là một chiến dịch được tổ chức tốt. Các tổ chức và cá nhân nên cảnh giác cao độ, chỉ tải xuống ứng dụng từ các nguồn đáng tin cậy, và thường xuyên kiểm tra các quyền mà ứng dụng yêu cầu.
