Các nhà nghiên cứu Dmitry Kalinin và Sergey Puzan của hãng bảo mật Kaspersky cho biết trong một báo cáo kỹ thuật rằng các cuộc tấn công này sử dụng mô hình nhận dạng ký tự quang học (OCR) để trích xuất các hình ảnh được chọn có chứa Seed Phrase từ thư viện ảnh đến máy chủ điều khiển và ra lệnh (C2) .

Hiện tại vẫn chưa biết liệu sự lây nhiễm này là kết quả của một cuộc tấn công chuỗi cung ứng hay do các nhà phát triển cố tình đưa vào. Một số ứng dụng bị lây nhiễm có thể tải trực tiếp từ Google Play và App Store, với hơn 242.000 lượt tải xuống.

Theo Kaspersky, SparkCat đã hoạt động ít nhất từ tháng 3/2024, với các ứng dụng độc hại được phân phối thông qua cả cửa hàng ứng dụng chính thức và không chính thức. Các chương trình này ngụy trang thành các ứng dụng như trợ lý AI, giao đồ ăn và hay các ứng dụng Web3 và liên quan đến tiền điện tử, mặc dù một số trong số chúng có vẻ cung cấp chức năng hợp pháp.

Sau khi cài đặt, ứng dụng nhiễm mã độc sẽ yêu cầu quyền truy cập thư viện ảnh, một điều tưởng chừng vô hại vì nhiều ứng dụng hợp pháp cũng có yêu cầu tương tự. Người dùng có thể dễ dàng chấp nhận mà không hề hay biết rằng toàn bộ hình ảnh của họ đang bị quét và phân tích bởi công nghệ OCR để tìm kiếm thông tin nhạy cảm.

“Mô-đun phần mềm độc hại Android sẽ giải mã và khởi chạy một plug-in OCR được xây dựng bằng thư viện ML Kit của Google, đồng thời sử dụng nó để nhận dạng văn bản mà mã độc tìm thấy trong hình ảnh bên trong thư viện”, Kaspersky cho biết.

Tương tự như vậy, phiên bản iOS của SparkCat dựa vào thư viện ML Kit của Google để OCR đánh cắp hình ảnh có chứa Seed Phrase. Một khía cạnh đáng chú ý của phần mềm độc hại là việc sử dụng cơ chế giao tiếp dựa trên Rust cho C2, một điều hiếm khi thấy trong các ứng dụng di động.

Phân tích sâu hơn về các từ khóa được sử dụng và các khu vực mà các ứng dụng này được cung cấp cho thấy rằng chiến dịch này chủ yếu nhắm vào người dùng ở châu Âu và châu Á. Trong quá trình phân tích phiên bản Android của mã độc, các chuyên gia của Kaspersky phát hiện nội dung trong mã nguồn được viết bằng tiếng Trung. Đồng thời, phiên bản iOS cũng chứa các thư mục “qiongwu” và “quiwengjing”, cho thấy nhiều khả năng kẻ tấn công đến từ Trung Quốc.

Theo các nhà nghiên cứu, điều khiến Trojan này đặc biệt nguy hiểm là không có dấu hiệu nào cho thấy có một phần mềm độc hại ẩn trong ứng dụng. Các quyền mà nó yêu cầu có vẻ như cần thiết hoặc thoạt nhìn có vẻ vô hại.

Tiết lộ này được đưa ra trong bối cảnh hãng bảo mật Zimperium (Mỹ) đã trình bày chi tiết về một chiến dịch phát tán phần mềm độc hại di động Android tại Ấn Độ, bằng cách phân phối các tệp APK độc hại qua WhatsApp dưới dạng các ứng dụng ngân hàng và chính phủ, cho phép các ứng dụng này thu thập thông tin tài chính và thông tin đọc hiểu nhạy cảm.

Công ty an ninh mạng Kaspersky cho biết họ đã xác định được hơn 1.000 ứng dụng giả mạo có liên quan đến chiến dịch này, trong đó những kẻ tấn công sử dụng khoảng 1.000 số điện thoại được mã hóa cứng làm điểm xâm nhập để lấy tin nhắn SMS và mật khẩu dùng một lần (OTP).

Nhà nghiên cứu bảo mật Aazim Yaswant cho biết: “Không giống như các Trojan ngân hàng thông thường chỉ dựa vào máy chủ C2 để đánh cắp mật khẩu OTP, chiến dịch phần mềm độc hại này tận dụng số điện thoại thực để chuyển hướng tin nhắn SMS.

Chiến dịch tấn công mang tên FatBoyPanel được cho là đã thu thập được 2,5 GB dữ liệu nhạy cảm cho đến nay, tất cả đều được lưu trữ trên các điểm cuối Firebase mà bất kỳ ai cũng có thể truy cập mà không cần xác thực.

Bao gồm tin nhắn SMS từ các ngân hàng Ấn Độ, thông tin chi tiết về ngân hàng, thông tin thẻ tín dụng và thẻ ghi nợ cũng như thông tin nhận dạng do chính phủ cấp của khoảng 50.000 người dùng, phần lớn trong số họ ở các tiểu bang Tây Bengal, Bihar, Jharkhand, Karnataka và Madhya Pradesh của Ấn Độ.

Những sự cố này là lời cảnh báo về tầm quan trọng của việc kiểm tra kỹ lưỡng các ứng dụng, bao gồm xem xét kỹ các bài đánh giá và kiểm tra tính xác thực của nhà phát triển trước khi tải xuống, ngay cả khi chúng được tải lên các cửa hàng ứng dụng chính thức.

Theo nhà nghiên cứu bảo mật Patrick Wardle, diễn biến này cũng theo sau sự xuất hiện của 24 dòng phần mềm độc hại mới nhắm vào hệ thống macOS của Apple vào năm 2024.

Các ứng dụng vi phạm đã bị xóa khỏi cả Apple Store và Google Play kể từ ngày 07/02/2025. Google cũng chia sẻ với trang tin The Hacker News rằng người dùng Android sẽ được tự động bảo vệ khỏi các phiên bản đã biết của phần mềm độc hại này bằng Google Play Protect, tính năng được bật theo mặc định trên các thiết bị Android.