Mã độc SparkCat được phát hiện bên trong một số ứng dụng trên App Store, có khả năng thu thập nội dung từ ảnh chụp màn hình của người dùng iPhone.
Theo các nhà nghiên cứu bảo mật tại Kaspersky, phần mềm độc hại SparkCat tồn tại trong các ứng dụng vốn đã vượt qua trình kiểm tra an ninh của Apple để xuất hiện trên cửa hàng App Store. Các ứng dụng bị nhiễm SparkCat được phát hiện có ComeCome, WeTink và AnyGPT. Đây cũng là lần đầu tiên mối đe dọa như vậy được tìm thấy trong các ứng dụng App Store.
Minh họa mã độc đánh cắp ví tiền số trên App Store. Ảnh: ReadWrite
Phân tích của Kaspersky cho thấy loạt ứng dụng nhiễm SparkCat sử dụng trình Nhận dạng ký tự quang học (OCR) để quét ảnh chụp màn hình với mục đích tìm thông tin nhạy cảm. Bên trong chúng chứa module độc hại, tận dụng trình cắm thêm ML Kit OCR của Google để phân tích hình ảnh và lấy nội dung trên đó.
SparkCat đặc biệt tập trung vào cụm từ “hạt giống” dùng để khôi phục ví tiền số, qua đó cho phép kẻ tấn công đánh cắp Bitcoin và tài sản kỹ thuật số khác. Các chuyên gia cho biết, nếu phát hiện ảnh chụp màn hình liên quan đến ví tiền số, mã độc sẽ lập tức truyền dữ liệu thu được đến máy chủ của kẻ tấn công.
SparkCat được cho là đã hoạt động từ tháng 3/2024, nhưng chủ yếu trên thiết bị Android trước khi xuất hiện trên thiết bị chạy iOS gần đây. Bên cạnh thu thập nội dung từ ảnh chụp màn hình, khi cài đặt, ứng dụng nhiễm SparkCat sẽ yêu cầu quyền truy cập ảnh và quét để lấy nội dung quan trọng khác.
Kaspersky cho biết một số ứng dụng nhiễm SparkCat vẫn tồn tại trên App Store. Họ chưa thể xác định đây là hành động có chủ đích từ các nhà phát triển hay do chúng bị tấn công.
Kaspersky khuyến cáo người dùng không nên lưu ảnh chụp màn hình chứa nội dung quan trọng, như cụm từ khôi phục ví điện tử, mật khẩu ngân hàng… trong Thư viện ảnh. Thay vào đó, họ nên sử dụng trình quản lý mật khẩu hoặc lưu trữ ở nơi an
