Phát hiện mã độc cực nguy hiểm tấn công iPhone lấy dữ liệu nhạy cảm: Khẩn trương xóa ngay những ứng dụng này 

Phát hiện mã độc nguy hiểm có khả năng đọc ảnh để đánh cắp dữ liệu nhạy cảm  

Ngày 6/2/2025, các chuyên gia bảo mật từ Kaspersky đã phát hiện một loại mã độc  hoàn toàn mới, có khả năng trích xuất dữ liệu nhạy cảm  từ hình ảnh trên iPhone. 

Mã độc này được đặt tên là SparkCat và lợi dụng công nghệ nhận diện ký tự quang học (OCR) để quét nội dung bên trong ảnh chụp màn hình. Đặc biệt, nó nhắm đến các thông tin quan trọng như cụm từ khôi phục ví tiền điện tử, tạo điều kiện cho tin tặc chiếm đoạt Bitcoin và nhiều loại tiền mã hóa khác. 

Trước đây, SparkCat đã từng xuất hiện trên các thiết bị Android và máy tính, nhưng đây là lần đầu tiên nó được phát hiện trên nền tảng iOS. Không chỉ xâm nhập vào các ứng dụng hợp pháp đã bị cài mã độc, SparkCat còn ẩn mình trong những ứng dụng giả mạo như phần mềm nhắn tin, trợ lý AI, ứng dụng giao đồ ăn hay những nền tảng liên quan đến tiền điện tử. 

Các chuyên gia cảnh báo người dùng không nên lưu trữ ảnh chụp màn hình chứa thông tin quan trọng, đặc biệt là dữ liệu phục hồi ví tiền điện tử, trong thư viện ảnh trên điện thoại để giảm nguy cơ bị tấn công. 

Cơ chế hoạt động tinh vi của mã độc SparkCat  

Theo báo cáo từ Kaspersky, mã độc SparkCat đang ẩn náu trong các ứng dụng  hợp pháp như ComeCome, WeTink và AnyGPT. Khi người dùng tải về và cài đặt, ứng dụng sẽ yêu cầu quyền truy cập vào thư viện ảnh. Nếu chấp nhận, một module nhận diện ký tự quang học (OCR) – được phát triển dựa trên thư viện Google ML Kit – sẽ được kích hoạt để quét toàn bộ ảnh chụp màn hình. Mục tiêu của SparkCat là tìm kiếm các chuỗi ký tự liên quan đến "khóa phục hồi ví tiền điện tử" của các nền tảng như Bitcoin hay Ethereum. Khi phát hiện dữ liệu nhạy cảm, mã độc sẽ mã hóa thông tin này và gửi về máy chủ của tin tặc. 

Điểm đáng chú ý là công nghệ OCR vốn được sử dụng phổ biến trong các ứng dụng quét tài liệu, nhưng SparkCat đã khai thác nó theo hướng tiêu cực. Không giống như các loại mã độc truyền thống tấn công trực tiếp vào ví điện tử, SparkCat khai thác thói quen của người dùng trong việc lưu trữ thông tin quan trọng dưới dạng ảnh chụp màn hình - một lỗ hổng bảo mật phổ biến do sự tiện lợi. 

Theo phân tích của Kaspersky, SparkCat đã xuất hiện từ tháng 3/2024, chủ yếu nhắm đến người dùng iOS tại châu Âu và châu Á. Mặc dù ban đầu mục tiêu chính của mã độc này là đánh cắp tiền mã hóa, nhưng các chuyên gia cảnh báo rằng nó hoàn toàn có thể được điều chỉnh để thu thập các dữ liệu quan trọng khác như mật khẩu, thông tin thẻ tín dụng hoặc dữ liệu cá nhân. Đáng lo ngại hơn, một số ứng dụng chứa mã độc này vẫn chưa bị gỡ khỏi App Store tính đến thời điểm báo cáo được công bố. 

Trên thực tế, mã độc sử dụng OCR không phải là điều mới mẻ. Năm 2023, các phiên bản khác đã từng tấn công người dùng Android và PC. Tuy nhiên, SparkCat là trường hợp đầu tiên vượt qua được hệ thống kiểm duyệt nghiêm ngặt của Apple, cho thấy sự tinh vi ngày càng gia tăng trong các chiến thuật của tin tặc. 

Apple vốn nổi tiếng với quy trình kiểm duyệt ứng dụng khắt khe trước khi chúng được phép xuất hiện trên App Store. Tuy nhiên, SparkCat đã tận dụng một lỗ hổng trong quy trình này: mã độc không chứa các đoạn mã nguy hiểm rõ ràng như Trojan. Bên cạnh đó, những quyền truy cập mà nó yêu cầu, chẳng hạn như truy cập thư viện ảnh, đều phù hợp với chức năng công khai của ứng dụng. Ví dụ, ComeCome là ứng dụng chỉnh sửa ảnh, nên việc yêu cầu truy cập ảnh không gây ra nghi ngờ. 

Ngoài ra, Kaspersky không loại trừ khả năng đây là kết quả của một cuộc tấn công chuỗi cung ứng. Theo giả thuyết này, tin tặc đã xâm nhập vào hệ thống của nhà phát triển để cấy mã độc vào ứng dụng ngay từ đầu. Mặc dù nguyên nhân chính xác vẫn chưa được xác định, sự việc này cho thấy ngay cả hệ sinh thái khép kín như iOS cũng không hoàn toàn miễn nhiễm với nguy cơ bảo mật. 

Sự xuất hiện của SparkCat phản ánh một xu hướng tấn công mạng mới, tận dụng trí tuệ nhân tạo (AI) và học máy (Machine Learning) để thực hiện các hành vi độc hại. Trước đó, mã độc Cerberus trên Android cũng đã khai thác công nghệ OCR để đánh cắp mã xác thực hai yếu tố (2FA) từ tin nhắn SMS. Điều này là lời cảnh báo rõ ràng rằng người dùng cần cẩn trọng hơn khi lưu trữ thông tin nhạy cảm, đặc biệt là trong môi trường kỹ thuật số. 

Khuyến nghị từ chuyên gia bảo mật  

Để bảo vệ bản thân trước SparkCat và các mối đe dọa tương tự trong tương lai, Kaspersky đề xuất một số biện pháp quan trọng: 

Tránh lưu trữ ảnh chụp màn hình chứa thông tin nhạy cảm như cụm từ khôi phục ví điện tử, mật khẩu hoặc dữ liệu cá nhân; 

Hạn chế cấp quyền truy cập thư viện ảnh cho các ứng dụng không rõ nguồn gốc hoặc không thực sự cần thiết; 

Luôn cập nhật hệ điều hành và ứng dụng để giảm thiểu nguy cơ bị tấn công qua lỗ hổng bảo mật; 

Sử dụng ví cứng (hardware wallet) để lưu trữ tiền mã hóa thay vì giữ khóa phục hồi trên thiết bị số. 

Về phía Apple, sự việc lần này cho thấy cần tăng cường khả năng phân tích hành vi của ứng dụng trong quá trình kiểm duyệt, thay vì chỉ tập trung vào quyền truy cập và mã nguồn tĩnh. Các nhà phát triển ứng dụng cũng cần kiểm tra chặt chẽ mã nguồn và thư viện bên thứ ba để tránh trở thành nạn nhân của các cuộc tấn công chuỗi cung ứng. 

>> Công an cảnh báo mã độc có thể đánh cắp tài khoản 'trong nháy mắt'