Các chuyên gia bảo mật của Kaspersky phát hiện chiến dịch malware di động nhắm vào người dùng tiền điện tử thông qua các ứng dụng bị nhiễm độc.

Phần mềm gián điệp SparkKitty được ghi nhận đánh cắp các ảnh chụp màn hình thiết bị chứa cụm từ seed phrase bằng công nghệ nhận dạng ký tự quang học (OCR) trên nền tảng iOS và Android qua các cửa hàng ứng dụng chính thức.

Phần mềm độc hại SparkKitty thâm nhập vào cửa hàng ứng dụng chính thống, nhắm vào tiền điện tử

Các nhà nghiên cứu Kaspersky đã phát hiện chiến dịch gián điệp SparkKitty vào tháng 1 năm 2025, tiếp nối sau việc nhận diện malware SparkCat chuyên tấn công ví tiền điện tử trước đó. Mối đe dọa này phân phối các ứng dụng độc hại qua nhiều nguồn cả không chính thống lẫn Google Play và App Store, các app nhiễm độc đã được gỡ khỏi Google Play sau cảnh báo.

SparkKitty tấn công đồng thời iOS và Android với các cơ chế triển khai khác nhau. Trên iOS, payload malware được đưa qua các framework giả lập thư viện hợp pháp như AFNetworking.framework hoặc Alamofire.framework, hoặc thư viện bị làm mờ giả danh libswiftDarwin.dylib. Malware còn tích hợp trực tiếp vào ứng dụng.

Trên Android, SparkKitty sử dụng ngôn ngữ Java và Kotlin, trong đó bản Kotlin là module Xposed độc hại. Đa số phiên bản malware chiếm quyền với tất cả hình ảnh trong thiết bị, song các nhóm nghiên cứu phát hiện các cụm độc hại dùng OCR tấn công có chọn lọc những hình ảnh chứa thông tin nhạy cảm.

Xem thêm: AAVE áp sát kháng cự 130 USD, đà tăng còn nếu đảo chiều tín hiệu

Chiến dịch hoạt động từ ít nhất tháng 2 năm 2024 và chia sẻ nhiều kỹ thuật tấn công, hạ tầng với chiến dịch SparkCat trước đó.

So với SparkCat chỉ tấn công seed phrase, SparkKitty có quy mô rộng hơn bằng cách thu thập tất cả ảnh có trong thiết bị bị nhiễm, tiềm ẩn nguy cơ đánh cắp nhiều dữ liệu tài chính và cá nhân khác.

Bản mod TikTok từ các chợ ứng dụng không rõ nguồn gốc là lối xâm nhập chính

Các chuyên gia Kaspersky phát hiện chiến dịch khi theo dõi các link đáng ngờ liên tục phát tán bản mod TikTok trên Android. Ứng dụng biến thể này chạy thêm mã độc khi người dùng khởi chạy hoạt động chính của app.

URL cấu hình được trình bày dưới dạng nút bấm trong app nhiễm độc, khởi động phiên WebView để hiển thị TikToki Mall – một cổng thương mại điện tử chấp nhận thanh toán bằng tiền điện tử.

Việc đăng ký và mua hàng chỉ cho phép nhập mã mời, khiến các nhà nghiên cứu không thể xác minh mức độ hoạt động hay tính hợp pháp của cửa hàng. Trên iOS, kẽ hở là các profile doanh nghiệp thuộc Apple Developer Program được lợi dụng để vượt qua giới hạn cài đặt app bình thường.

Kaspersky raises alarm about malware stealing crypto seed phrases on mobile — Ảnh chụp màn hình ứng dụng bị nhiễm trên App Store

Hacker lợi dụng chứng chỉ doanh nghiệp phân phối app cấp tổ chức, cho phép cài app độc hại trên bất kỳ thiết bị nào mà không cần phê duyệt từ App Store. Việc lạm dụng profile doanh nghiệp phổ biến với các app không phù hợp như casino trực tuyến, phần mềm crack hay mod lậu.

Xem thêm: Lighter: Hết ưu đãi khiến LIT giảm thống trị còn 8,1%

Phiên bản TikTok iOS nhiễm độc yêu cầu quyền truy cập thư viện ảnh ngay khi khởi động – điều không có trên bản TikTok chính thức. Malware được nhúng trong framework giả danh AFNetworking.framework, sửa đổi các lớp AFImageDownloader và các thành phần AFImageDownloaderTool khác.

Phiên bản malware Android đánh cắp ảnh qua ứng dụng chủ đề tiền điện tử

Phiên bản Android của SparkKitty hoạt động thông qua các ứng dụng tiền điện tử có mã độc nhúng tại điểm vào. Malware yêu cầu lấy file cấu hình chứa địa chỉ máy chủ command and control (C2), giải mã bằng AES-256 ECB trước khi thiết lập liên lạc với server từ xa.

Việc đánh cắp ảnh diễn ra theo quy trình hai bước, bao gồm việc xác định “dấu vân tay” thiết bị và cơ chế tải lên hình ảnh được chọn lọc. Malware tạo các hàm băm MD5 kết hợp IMEI, địa chỉ MAC và UUID ngẫu nhiên, lưu các nhận dạng này trên bộ nhớ ngoài.

Ứng dụng casino kết hợp framework LSPosed đóng vai trò module Xposed tấn công điểm vào của ứng dụng. Một app nhắn tin tích hợp tính năng trao đổi tiền điện tử từng đạt hơn 10.000 lượt cài trước khi bị gỡ khỏi Google Play theo cảnh báo Kaspersky.

Xem thêm: Nhà đầu tư giải mã cú quét thanh khoản 11,3 triệu USD của NEAR: 1,35 USD là mục tiêu tiếp theo?

Ứng dụng web tiến bộ (PWA) được lan truyền qua các nền tảng lừa đảo quảng bá mô hình Ponzi trên mạng social phổ biến. Trang chứa PWA yêu cầu người dùng tải file APK, đăng ký xử lý tải nội dung gồm ảnh JPEG và PNG, xử lý bằng Google ML Kit OCR để quét các ảnh chụp màn hình có chứa văn bản.

Tuyên bố miễn trừ: Bài viết này chỉ nhằm mục đích cung cấp thông tin dưới dạng blog cá nhân, không phải là khuyến nghị đầu tư. Nhà đầu tư cần tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định và chúng tôi không chịu trách nhiệm đối với bất kỳ quyết định đầu tư nào của bạn.

Theo Nghị quyết số 05/2025/NQ-CP ngày 09/09/2025 của Chính phủ về việc thí điểm triển khai thị trường tài sản số tại Việt Nam, TinTucBitcoin.com hiện chỉ cung cấp thông tin cho độc giả quốc tế và không phục vụ người dùng tại Việt Nam cho đến khi có hướng dẫn chính thức từ cơ quan chức năng.