Một chiến dịch tấn công với malware mới có tên SparkKitty vừa bị các chuyên gia an ninh mạng phát hiện, đang lặng lẽ phát tán qua cả Google Play và Apple App Store.
SparkKitty không phát tán theo kiểu cũ. Thay vì gửi tệp lạ hay đính kèm độc hại, nó ẩn mình trong các ứng dụng có giao diện bình thường như ví tiền mã hóa, ứng dụng nhắn tin hoặc tiện ích tiện dụng. Sau khi được cài đặt, ứng dụng sẽ yêu cầu quyền truy cập vào thư viện ảnh – điều mà nhiều người thường vô tình chấp thuận. Nó sẽ trích xuất toàn bộ ảnh từ thư viện trong thiết bị của người dùng, sử dụng công nghệ OCR của Google ML Kit để xác định ảnh chứa văn bản nhằm ưu tiên đánh cắp seed phrase. Dữ liệu bị lấy cắp bao gồm ảnh, metadata và định danh thiết bị có thể bị sử dụng cho mục đích tống tiền hoặc gian lận tài chính.
Khi đã có quyền vào thư viện ảnh, SparkKitty âm thầm sử dụng OCR (nhận dạng ký tự trong ảnh) để rà soát tất cả hình ảnh chứa từ khóa liên quan đến seed phrase. Các ảnh nghi ngờ sẽ lập tức bị tải về máy chủ điều khiển (C2) của tin tặc và từ đó, seed phrase bị đánh cắp, đồng nghĩa với việc ví tiền mã hóa của bạn có thể bị chiếm đoạt trong vài phút.
Dù chưa xác định được nhóm tấn công đứng sau SparkKitty, nhưng giới nghiên cứu nhận thấy nhiều điểm tương đồng với chiến dịch SparkCat từng được Kaspersky cảnh báo hồi đầu năm 2025. Cả hai đều tận dụng app giả mạo và phương pháp xử lý ảnh bằng OCR để lấy thông tin ví.
SparkKitty thậm chí còn tinh vi hơn khi áp dụng mã hóa AES-256 trong quá trình xử lý ảnh, giúp mã độc khó bị phát hiện hơn tùy theo thiết bị và khu vực.
Không giống các loại virus làm chậm máy hay hiện quảng cáo, SparkKitty đánh vào tài sản số và danh tính cá nhân:
Khi đã có quyền vào thư viện ảnh, SparkKitty âm thầm sử dụng OCR (nhận dạng ký tự trong ảnh) để rà soát tất cả hình ảnh chứa từ khóa liên quan đến seed phrase. Các ảnh nghi ngờ sẽ lập tức bị tải về máy chủ điều khiển (C2) của tin tặc và từ đó, seed phrase bị đánh cắp, đồng nghĩa với việc ví tiền mã hóa của bạn có thể bị chiếm đoạt trong vài phút.
Dù chưa xác định được nhóm tấn công đứng sau SparkKitty, nhưng giới nghiên cứu nhận thấy nhiều điểm tương đồng với chiến dịch SparkCat từng được Kaspersky cảnh báo hồi đầu năm 2025. Cả hai đều tận dụng app giả mạo và phương pháp xử lý ảnh bằng OCR để lấy thông tin ví.
SparkKitty thậm chí còn tinh vi hơn khi áp dụng mã hóa AES-256 trong quá trình xử lý ảnh, giúp mã độc khó bị phát hiện hơn tùy theo thiết bị và khu vực.
Không giống các loại virus làm chậm máy hay hiện quảng cáo, SparkKitty đánh vào tài sản số và danh tính cá nhân:
- Người dùng có thể mất toàn bộ ví crypto nếu seed phrase bị lộ.
- Các ảnh chứa thông tin nhạy cảm như CCCD, tài khoản ngân hàng, thư từ cá nhân… nếu bị đánh cắp có thể bị sử dụng để lừa đảo, tống tiền hoặc làm giả danh tính.
- Vì được phát tán qua cửa hàng ứng dụng chính thống (Google Play, App Store), nạn nhân rất dễ mất cảnh giác.
Các chuyên gia khuyến cáo người dùng đặc biệt lưu ý
Đối với người dùng thông thường:
- Tuyệt đối không lưu seed phrase dưới dạng ảnh chụp màn hình (có thể lưu thủ công hoặc một tiện ích nào khác)
- Không cài app không rõ nguồn gốc, app nhái tên ví tiền.
- Kiểm tra quyền truy cập ảnh của tất cả ứng dụng trên điện thoại.
- Gỡ cài đặt các ứng dụng không rõ ràng hoặc ít sử dụng.
- Dùng Play Protect (Android) và theo dõi lưu lượng bất thường.
Đối với bộ phận kỹ thuật:
- Thiết lập giám sát lưu lượng mạng từ thiết bị di động.
- Chặn domain bất thường và phát hiện các hành vi truy xuất thư viện ảnh.
- Áp dụng chính sách BYOD nghiêm ngặt với các thiết bị cá nhân.
Đối với người giao dịch tiền điện tử:
- Không bao giờ lưu seed phrase trên thiết bị điện tử.
- Sử dụng ví lạnh (hardware wallet) hoặc phương pháp lưu trữ ngoại tuyến.
- Kiểm tra lại toàn bộ ảnh cũ và xóa ảnh chứa seed phrase nếu có.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview