Lần đầu tiên, các ứng dụng chứa mã độc đánh cắp tiền mã hóa bị phát hiện trên Apple App Store. Chiến dịch này, có tên “SparkCat,” sử dụng một Software Development Kit (SDK) độc hại để lấy cắp recovery phrase của ví tiền mã hóa thông qua công nghệ Optical Character Recognition (OCR).
Theo Kaspersky, các ứng dụng nhiễm mã độc đã được tải xuống hơn 242.000 lần trên Google Play. SDK này có thể đã được tích hợp vào ứng dụng mà nhiều nhà phát triển không hề hay biết. Đây là lần đầu tiên một stealer được phát hiện trên App Store.
Trên Android, mã độc ẩn trong một thành phần Java có tên “Spark,” giả dạng module phân tích dữ liệu và sử dụng GitLab để nhận lệnh. Trên iOS, nó núp dưới các framework như “Gzip” hay “googleappsdk,” đồng thời dùng một module mạng viết bằng Rust để liên lạc với máy chủ Command-and-Control (C2).
Mã độc này quét hình ảnh trên thiết bị bằng Google ML Kit OCR, tìm kiếm recovery phrase để truy cập ví tiền mã hóa của nạn nhân mà không cần mật khẩu. Nó gửi dữ liệu thiết bị đến máy chủ C2 và nhận lệnh điều khiển tiếp theo.
Kaspersky xác nhận có 18 ứng dụng Android và 10 ứng dụng iOS bị nhiễm, trong đó có ứng dụng ChatAi trên Android với hơn 50.000 lượt tải trước khi bị gỡ khỏi Google Play.
Người dùng nên ngay lập tức gỡ bỏ các ứng dụng bị nhiễm, sử dụng phần mềm antivirus để quét thiết bị và cân nhắc khôi phục cài đặt gốc. Recovery phrase của ví tiền mã hóa không nên lưu dưới dạng ảnh chụp màn hình mà cần được lưu trữ trên thiết bị ngoại vi được mã hóa hoặc kho lưu trữ ngoại tuyến an toàn.
