Một cuộc tấn công tinh vi mới vừa được phát hiện, nhắm vào người dùng iPhone và Android trên toàn thế giới. Thủ phạm lần này là một loại mã độc mới mang tên mã độc SparkKitty, đang âm thầm thu thập dữ liệu nhạy cảm của người dùng, cụ thể là các thông tin liên quan đến ví tiền mã hóa. Điều đáng sợ là SparkKitty không hoạt động như các mã độc truyền thống – nó sử dụng công nghệ nhận diện ký tự quang học (OCR – Optical Character Recognition) để quét thư viện ảnh và đánh cắp mã khôi phục tài khoản người dùng chỉ từ… một bức ảnh.
Mã Độc SparkKitty Là Gì?
Theo báo cáo từ hãng bảo mật nổi tiếng Kaspersky vào tháng 01/2025, mã độc SparkKitty là một phần mềm gián điệp đặc biệt nguy hiểm vì có thể lẩn khuất dưới dạng các ứng dụng trông hợp pháp, có sẵn trên các nền tảng chính thống như App Store của Apple và Google Play Store.
Điều làm cho SparkKitty trở nên nguy hiểm hơn là nó được thiết kế đặc biệt để săn lùng người dùng ví tiền mã hóa (crypto wallet). Khi cài đặt thành công, nó sẽ truy cập vào thư viện ảnh trên thiết bị và quét mọi hình ảnh có chứa mã khôi phục ví tiền – một chuỗi từ hoặc ký tự mà người dùng thường được khuyên lưu giữ khi tạo ví điện tử. Những mã này, một khi bị lộ, có thể giúp tin tặc chiếm quyền truy cập toàn bộ ví và rút sạch tài sản.
Cách SparkKitty Xâm Nhập Thiết Bị Người Dùng
SparkKitty được phân phối thông qua các ứng dụng độc hại xuất hiện trên cả hai cửa hàng ứng dụng chính là App Store và Google Play. Điều này khiến người dùng khó phát hiện, bởi các ứng dụng được thiết kế với giao diện hợp pháp và thường phục vụ các chức năng hữu ích như nhắn tin, ghi chú, hoặc hỗ trợ giao dịch tiền mã hóa.
Một trong những ví dụ cụ thể là ứng dụng có tên “SOEX”, từng đạt hơn 10.000 lượt tải trên Google Play. Trên bề mặt, đây là một ứng dụng nhắn tin được tích hợp tính năng giao dịch tiền mã hóa. Tuy nhiên, ẩn sâu bên trong là mã độc SparkKitty, luôn chờ cơ hội để thu thập thông tin người dùng.
Vì Sao Người Dùng Dễ Bị Tấn Công?
Sự bất cẩn trong việc lưu trữ mã khôi phục chính là lỗ hổng lớn nhất mà tin tặc khai thác. Khi tạo ví tiền mã hóa, hầu hết các nền tảng đều khuyến cáo người dùng ghi lại cụm từ khôi phục (recovery phrase) ở nơi an toàn, tuyệt đối không nên lưu trữ dưới dạng ảnh hoặc trực tuyến.
Tuy nhiên, thực tế cho thấy nhiều người lại chọn cách tiện lợi là chụp ảnh màn hình cụm từ này và lưu lại trong thư viện ảnh – nơi vốn không được bảo mật tốt. Đây chính là “miếng mồi béo bở” cho mã độc SparkKitty, bởi chỉ cần có quyền truy cập ảnh, nó có thể quét, nhận diện và gửi dữ liệu nhạy cảm này đến máy chủ điều khiển của tin tặc.
Cơ Chế Hoạt Động Của SparkKitty
Khi được cài đặt trên thiết bị, ứng dụng chứa SparkKitty sẽ yêu cầu một số quyền truy cập – điển hình là quyền truy cập và chỉnh sửa thư viện ảnh. Một khi người dùng vô tình cấp quyền, mã độc bắt đầu làm việc.
- Quét toàn bộ ảnh trong thư viện để tìm cụm từ có dạng như 12 hoặc 24 từ thường được dùng trong các ví tiền mã hóa.
- Tự động kích hoạt lại quá trình quét mỗi khi phát hiện có ảnh mới được thêm hoặc xóa đi.
- Sử dụng công nghệ nhận diện ký tự quang học (OCR) để chuyển các thông tin hình ảnh thành văn bản dễ xử lý.
- Gửi dữ liệu đã xử lý đến máy chủ tin tặc, nơi các công cụ chuyên dụng sẽ thử đăng nhập và kiểm soát ví tiền của nạn nhân.
Các Biến Thể Tinh Vi Của Mã Độc
Cùng thời điểm phát hiện mã độc SparkKitty, các chuyên gia cũng ghi nhận sự gia tăng của nhiều loại phần mềm độc hại khác:
Cloudflare Tunnel đang bị lợi dụng để che giấu các chiến dịch tấn công phần mềm độc hại.
Một biến thể mới của mã độc Flodrix đang nhắm đến các nền tảng AI như Langflow.
Một loạt các gói độc hại trên nền tảng PyPI được phát hiện khai thác API của Instagram và TikTok nhằm xác thực tài khoản người dùng.
Tất cả đều cho thấy tin tặc đang chuyển mình mạnh mẽ, sử dụng nhiều chiến lược tấn công hơn, đặc biệt là hướng đến nguồn dữ liệu phi truyền thống như hình ảnh, AI, hoặc API.
Người Dùng Cần Làm Gì Để Bảo Vệ Chính Mình?
Trước những mối đe dọa ngày càng tinh vi như mã độc SparkKitty, các chuyên gia bảo mật đưa ra nhiều khuyến nghị:
1. Không bao giờ lưu trữ mã khôi phục dưới dạng ảnh: Hãy viết tay mã khôi phục vào giấy, cất ở nơi an toàn. Tránh mọi hình thức số hóa có thể bị truy cập hoặc đánh cắp.
2. Kiểm tra kỹ thông tin nhà phát triển trước khi cài ứng dụng: Chỉ cài đặt ứng dụng từ các nhà phát hành uy tín. Đọc kỹ đánh giá, kiểm tra số lượt tải, ngày cập nhật cuối cùng và thông tin liên hệ của nhà phát triển.
3. Cẩn trọng với các quyền ứng dụng yêu cầu: Một ứng dụng ghi chú hoặc tin nhắn không nên yêu cầu quyền truy cập vào thư viện ảnh, camera, hoặc dữ liệu nhạy cảm khác. Hãy cân nhắc kỹ và từ chối nếu thấy không hợp lý.
4. Cập nhật hệ điều hành và phần mềm thường xuyên: Các bản cập nhật không chỉ mang lại tính năng mới mà còn vá các lỗ hổng bảo mật mà tin tặc có thể khai thác.
5. Sử dụng phần mềm bảo mật đáng tin cậy: Giải pháp bảo mật đến từ các thương hiệu như Kaspersky, Bitdefender, Norton, csp tech… có thể giúp phát hiện sớm các mối đe dọa như SparkKitty.
📢 Kết Luận: Đừng Để SparkKitty “Tóm” Bạn
Mã độc SparkKitty không chỉ là một ví dụ điển hình của một cuộc tấn công nhắm mục tiêu thông minh, mà còn là hồi chuông cảnh tỉnh cho tất cả người dùng đang sở hữu tài sản kỹ thuật số. Trong thế giới ngày càng phụ thuộc vào công nghệ, sự cẩn trọng trong từng cú nhấp, từng ứng dụng tải về sẽ là rào chắn quan trọng nhất giữa bạn và kẻ tấn công mạng.