Mới đây, các chuyên gia từ Kaspersky đã phát hiện một loại mã độc tinh vi trên App Store của Apple, có khả năng đánh cắp thông tin nhạy cảm thông qua ảnh chụp màn hình. Được đặt tên là “SparkCat”, mã độc này sử dụng công nghệ nhận diện ký tự quang học (OCR) để quét nội dung trong thư viện ảnh của người dùng iPhone, nhắm mục tiêu vào các cụm từ khôi phục ví tiền điện tử. Sự xuất hiện của SparkCat không chỉ đánh dấu bước leo thang nguy hiểm của tội phạm mạng mà còn đặt dấu hỏi lớn về cơ chế kiểm duyệt ứng dụng của Apple.
Mã độc nguy hiểm “ẩn mình” trên các ứng dụng của AppStore
Cơ chế hoạt động tinh vi của mã độc “SparkCat”
Theo báo cáo chi tiết từ Kaspersky, SparkCat ẩn mình trong các ứng dụng hợp pháp như ComeCome, WeTink và AnyGPT. Sau khi người dùng tải xuống, ứng dụng yêu cầu quyền truy cập vào thư viện ảnh. Nếu được chấp thuận, nó kích hoạt “module OCR” (sử dụng thư viện Google ML Kit) để quét toàn bộ ảnh chụp màn hình, tìm kiếm chuỗi ký tự liên quan đến “khóa phục hồi ví tiền điện tử” (ví dụ: Bitcoin, Ethereum). Khi phát hiện dữ liệu nhạy cảm, thông tin được mã hóa và gửi về máy chủ của tin tặc.
Điểm đáng chú ý là “OCR” (Optical Character Recognition) vốn là công nghệ phổ biến trong các ứng dụng quét tài liệu, nhưng SparkCat đã lợi dụng nó cho mục đích xấu. Khác với mã độc thông thường, SparkCat không cần tấn công trực tiếp vào ví điện tử mà chỉ cần khai thác thói quen lưu trữ thông tin quan trọng trong ảnh của người dùng – một sai lầm phổ biến do tính tiện lợi.
Theo Kaspersky xác định, SparkCat đã hoạt động từ tháng 3/2024, chủ yếu nhắm vào người dùng iOS tại châu Âu và châu Á. Mặc dù mục đích ban đầu là đánh cắp tiền mã hóa, các chuyên gia cảnh báo mã độc này có thể dễ dàng được điều chỉnh để thu thập các dữ liệu nhạy cảm như: mật khẩu, số thẻ tín dụng, hoặc thông tin cá nhân… từ ảnh chụp màn hình. Đáng lo ngại, một số ứng dụng nhiễm SparkCat vẫn chưa bị gỡ khỏi App Store tại thời điểm công bố báo cáo.
Các ứng dụng mà mã độc SparkCat ẩn mình, người dùng cần xóa ngay và kiểm tra lại bảo mật trên iPhone
Đây không phải là lần đầu tiên mã độc OCR xuất hiện – năm 2023, các phiên bản tương tự đã tấn công nền tảng Android và PC. Tuy nhiên, SparkCat là trường hợp “đầu tiên” vượt qua được “bức tường lửa” kiểm duyệt của Apple, cho thấy sự tiến hóa trong kỹ thuật của tin tặc.
Apple luôn tự hào về quy trình “App Review” nghiêm ngặt, yêu cầu mọi ứng dụng phải đáp ứng các tiêu chuẩn bảo mật trước khi lên Store. Tuy nhiên, SparkCat đã lợi dụng điểm yếu trong quy trình này: Mã độc không chứa mã độc hại rõ ràng như Trojan, đồng thời các quyền truy cập yêu cầu (như thư viện ảnh) đều phù hợp với chức năng công khai của ứng dụng. Ví dụ, ComeCome được quảng cáo là ứng dụng chỉnh sửa ảnh, nên việc xin quyền truy cập ảnh không gây nghi ngờ.
Ngoài ra, Kaspersky nghi ngờ đây có thể là kết quả của một “cuộc tấn công chuỗi cung ứng”, khi hacker xâm nhập vào hệ thống của nhà phát triển để chèn mã độc vào ứng dụng gốc. Dù chưa xác định được nguyên nhân chính xác, sự kiện này cho thấy ngay cả nền tảng “đóng” như iOS cũng không hoàn toàn an toàn.
SparkCat là ví dụ điển hình cho xu hướng tấn công mới dựa trên trí tuệ nhân tạo (AI) và Machine Learning. Tin tặc ngày càng khai thác các công nghệ tiên tiến để nâng cao hiệu quả tấn công. Trước đó, mã độc có tên “Cerberus” trên Android cũng sử dụng OCR để đọc mã xác thực hai yếu tố (2FA) từ SMS. Điều này cho thấy người dùng cần nâng cao cảnh giác với mọi hình thức lưu trữ thông tin kỹ thuật số, dù là tạm thời.
Chuyên gia bảo mật khuyến cáo
Để phòng tránh SparkCat và các mã độc tương lai, Kaspersky đưa ra những khuyến nghị quan trọng:
1. Không lưu ảnh chụp màn hình chứa thông tin nhạy cảm** như cụm khôi phục ví điện tử, mật khẩu, hoặc dữ liệu cá nhân.
2. Hạn chế cấp quyền truy cập thư viện ảnh cho ứng dụng không rõ nguồn gốc hoặc không cần thiết.
3. Cập nhật hệ điều hành và ứng dụng thường xuyên để vá lỗ hổng bảo mật.
4. Sử dụng ví cứng (hardware wallet) cho tiền điện tử thay vì lưu khóa phục hồi trên thiết bị số.
Về phía Apple, vụ việc này cho thấy cần tăng cường phân tích hành vi ứng dụng trong quá trình kiểm duyệt, thay vì chỉ dựa vào quyền truy cập và mã tĩnh. Các công ty phát triển ứng dụng cũng cần kiểm tra kỹ lưỡng mã nguồn và thư viện bên thứ ba để tránh bị xâm nhập.
