Phân tích tấn công: Sự tiến hóa "vô hình" từ SparkCat đến SparkKitty
Vào ngày 23 tháng 6 năm 2025, nhóm nghiên cứu mối đe dọa của Kaspersky lần đầu tiên tiết lộ SparkKitty, gọi nó là "phần mềm độc hại đánh cắp hình ảnh rất lén lút". Virus có cùng nguồn gốc với phần mềm độc hại SparkCat được phát hiện vào đầu năm 2024 và có cấu trúc mã và phương thức tấn công tương tự, nhưng với các kỹ thuật phức tạp hơn. Theo các nhà phân tích của Kaspersky, hoạt động sớm nhất của SparkKitty bắt đầu từ tháng 2 năm 2024, ban đầu nhắm mục tiêu vào Đông Nam Á và Trung Quốc, xâm nhập vào thiết bị của người dùng bằng cách ngụy trang thành tiền điện tử, cờ bạc và ứng dụng nhắn tin.
Mục tiêu cốt lõi của SparkKitty là đánh cắp tất cả các hình ảnh trong album, tập trung vào ảnh chụp màn hình của các cụm từ hạt giống từ ví tiền điện tử. Cụm từ ghi nhớ là thông tin đăng nhập duy nhất để khôi phục ví tiền điện tử và sau khi bị xâm phạm, kẻ tấn công có thể trực tiếp kiểm soát ví của người dùng và chuyển tất cả tài sản. So với SparkCat, công nghệ OCR (Nhận dạng ký tự quang học) của SparkKitty hiệu quả hơn và một số biến thể sử dụng Google ML Kit OCR để chỉ tải lên hình ảnh có văn bản, giảm gánh nặng cho máy chủ và cải thiện hiệu quả trộm cắp. Ngoài ra, vi-rút có thể thu thập dữ liệu nhạy cảm như mã định danh thiết bị và cookie trình duyệt, làm tăng nguy cơ đánh cắp danh tính và xâm phạm tài khoản.
Công phá khu vườn tường: Cửa hàng chính thức làm thế nào trở thành vector tấn công lớn nhất?
Điều khiến SparkKitty trở nên đáng chú ý nhất là nó đã thành công trong việc phá vỡ kênh phân phối ứng dụng được coi là an toàn nhất - Apple App Store và Google Play.
Cơ chế kiểm duyệt của cửa hàng ứng dụng chính thức tỏ ra bất lực trong cuộc chiến tấn công và phòng thủ này. Kẻ tấn công lợi dụng chiến lược "Trojan" để ngụy trang mã độc trong các ứng dụng tưởng chừng vô hại:
Sự thất bại của App Store: Một ứng dụng có tên "币coin" đã được phát hành thành công dưới vỏ bọc là giao diện theo dõi thị trường tiền điện tử đơn giản. Nó lợi dụng sự tin tưởng của người dùng vào công cụ theo dõi thị trường để dụ dỗ họ cấp quyền truy cập vào album ảnh.
Khu vực bị ảnh hưởng nặng nề của Google Play: Ứng dụng nhắn tin có tên "SOEX" tuyên bố cung cấp tính năng "trò chuyện và giao dịch mã hóa", với tổng số lượt tải xuống vượt quá 10.000 lần. Ngoài ra, các ứng dụng cá cược và trò chơi người lớn cũng đã được xác nhận là phương tiện truyền bá quan trọng của nó. Theo thống kê, kể từ thời SparkCat cho đến nay, tổng số lượt tải xuống của các ứng dụng độc hại liên quan trên Google Play đã vượt quá 242.000 lần.
Ngoài các kênh chính thức, kẻ tấn công còn hỗ trợ bằng ma trận truyền thông đa chiều:
Phân phối APK không chính thức: Phân phối các gói cài đặt APK giả mạo là phiên bản crack của TikTok, trò chơi blockchain phổ biến hoặc ứng dụng cá cược thông qua quảng cáo trên YouTube, nhóm Telegram và các trang tải xuống bên thứ ba.
Lạm dụng chứng chỉ doanh nghiệp iOS: Sử dụng chương trình phát triển doanh nghiệp của Apple, vượt qua sự kiểm tra nghiêm ngặt của App Store, cài đặt ứng dụng trực tiếp lên thiết bị người dùng thông qua liên kết web.
Các ứng dụng này khi cài đặt và chạy thường yêu cầu quyền (như truy cập album) được đóng gói thành nhu cầu chức năng cốt lõi của ứng dụng, người dùng rất dễ dàng cấp quyền mà không để ý, từ đó dẫn đến việc mời hổ về nhà.
Mười ngàn người bị thiệt hại, tài sản về không: Một cuộc tấn công "địa phương hóa" nhắm vào thị trường châu Á
Thị trường Đông Nam Á và Trung Quốc trở thành mục tiêu hàng đầu của SparkKitty. Đây không phải là ngẫu nhiên, mà là một chiến lược "địa phương hóa" được lên kế hoạch cẩn thận:
Hồ sơ người dùng chính xác: Những khu vực này là thị trường hoạt động cao cho các ứng dụng tiền điện tử và cá cược di động, với một lượng lớn người dùng và ý thức về an ninh tương đối yếu.
Cái bẫy của văn hóa và ngôn ngữ: Tên ứng dụng (như "币coin"), thiết kế giao diện và nội dung quảng cáo đều sử dụng ngôn ngữ địa phương, thậm chí nhúng các yếu tố trò chơi cờ bạc phổ biến tại địa phương, đã giảm đáng kể tâm lý phòng vệ của người dùng.
Mặc dù cuộc tấn công tập trung vào châu Á, nhưng Kaspersky cảnh báo rằng SparkKitty về mặt kỹ thuật là không biên giới, mã của nó có thể dễ dàng được sửa đổi để tấn công người dùng ở bất kỳ khu vực nào trên toàn cầu. Trên X (trước đây là Twitter), các chuyên gia an ninh và KOL tiền điện tử đã phát động một cuộc cảnh báo quy mô lớn, kêu gọi người dùng tự kiểm tra, tâm lý hoảng loạn của sự kiện đang lan rộng trong cộng đồng tiền điện tử toàn cầu. Mối nguy hiểm là đa tầng:
Tài sản ngay lập tức biến mất: Cụm từ ghi nhớ là chìa khóa duy nhất để phục hồi ví. Khi bị lộ, kẻ tấn công có thể chuyển đi tất cả tài sản tiền điện tử của người dùng chỉ trong vài phút, và gần như không thể thu hồi.
Sự riêng tư hoàn toàn bị lộ: Trong album có thể chứa nhiều thông tin riêng tư như chứng minh nhân dân, hộ chiếu, thẻ ngân hàng, ảnh gia đình, nếu bị các thế lực xấu lợi dụng thì hậu quả sẽ không thể tưởng tượng nổi.
Tài khoản liên kết: Cookies và chứng chỉ bị đánh cắp có thể dẫn đến việc người dùng bị chiếm đoạt tài khoản mạng xã hội, email thậm chí là tài khoản ngân hàng.
Suy ngẫm: Khi ảnh chụp cụm từ ghi nhớ trở thành "gót chân Achilles"
Các nhà phát triển nền tảng đang hành động. Google đã gỡ bỏ các ứng dụng liên quan, Apple cũng đã từng cấm gần một trăm tài khoản nhà phát triển do sự cố SparkCat. Nhưng đây giống như một trò chơi "đánh chuột" không bao giờ kết thúc. Chỉ cần kẻ tấn công có thể liên tục tìm ra lỗ hổng trong cơ chế kiểm duyệt, thì những "con ngựa thành Troy" mới sẽ liên tục xuất hiện.
Sự kiện SparkKitty đã gióng lên hồi chuông cảnh tỉnh cho toàn ngành, nó phơi bày ra vài tình huống khó khăn sâu sắc:
Cuộc khủng hoảng niềm tin của cửa hàng ứng dụng: Niềm tin của người dùng về "sự an toàn tuyệt đối" của cửa hàng chính thức đã bị phá vỡ. Các nền tảng cần phải áp dụng cơ chế phát hiện hành vi động chủ động và thông minh hơn, thay vì chỉ dựa vào việc quét mã tĩnh.
Mâu thuẫn vĩnh cửu giữa thói quen của người dùng và an ninh: Để tiện lợi, người dùng có xu hướng sử dụng cách đơn giản nhất - chụp màn hình - để sao lưu dữ liệu quan trọng nhất. Hành vi này chính là mắt xích yếu nhất trong hệ thống an ninh.
Nỗi khổ "km cuối" của an ninh tiền mã hóa: Dù ví phần cứng có an toàn đến đâu, các giao thức DeFi có phi tập trung đến đâu, miễn là người dùng mắc sai lầm trong việc quản lý cụm từ khôi phục ở "km cuối" này, tất cả các hàng rào bảo vệ sẽ trở nên vô nghĩa.
Làm thế nào để tự bảo vệ? Thà rằng sửa chữa sau khi mất dê, còn hơn là chuẩn bị trước khi trời mưa.
Loại bỏ thói quen xấu, sao lưu vật lý: Hoàn toàn từ bỏ thói quen sử dụng album, ghi chú hoặc bất kỳ dịch vụ đám mây nào có kết nối mạng để lưu trữ cụm từ ghi nhớ. Trở về phương pháp nguyên thủy và an toàn nhất: Sao lưu vật lý bằng tay và lưu trữ ở những vị trí an toàn khác nhau.
Nguyên tắc quyền hạn tối thiểu: Bảo vệ quyền truy cập vào điện thoại của bạn như một người keo kiệt. Tất cả các yêu cầu truy cập vào album, danh bạ, vị trí không cần thiết đều nên bị từ chối.
Thiết lập môi trường "phòng sạch": Cân nhắc sử dụng một chiếc điện thoại cũ chuyên dụng, cách ly mạng để quản lý tài sản tiền điện tử, không cài đặt bất kỳ ứng dụng nào có nguồn gốc không rõ ràng.
SparkKitty có thể sẽ bị tiêu diệt, nhưng "Kitty" tiếp theo đã đang được ấp ủ. Cuộc tấn công này nhắc nhở chúng ta rằng, an ninh trong thế giới Web3 không chỉ là cuộc chiến về mã nguồn và giao thức, mà còn là một cuộc chơi kéo dài về bản chất con người, thói quen và nhận thức. Giữ cảnh giác trước sự tiện lợi tuyệt đối là bài học bắt buộc cho mỗi công dân số.
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Cửa hàng chính thức trở thành "mã độc"? Khám phá SparkKitty: một cuộc săn lùng chính xác nhắm vào cụm từ ghi nhớ album
Phân tích tấn công: Sự tiến hóa "vô hình" từ SparkCat đến SparkKitty
Vào ngày 23 tháng 6 năm 2025, nhóm nghiên cứu mối đe dọa của Kaspersky lần đầu tiên tiết lộ SparkKitty, gọi nó là "phần mềm độc hại đánh cắp hình ảnh rất lén lút". Virus có cùng nguồn gốc với phần mềm độc hại SparkCat được phát hiện vào đầu năm 2024 và có cấu trúc mã và phương thức tấn công tương tự, nhưng với các kỹ thuật phức tạp hơn. Theo các nhà phân tích của Kaspersky, hoạt động sớm nhất của SparkKitty bắt đầu từ tháng 2 năm 2024, ban đầu nhắm mục tiêu vào Đông Nam Á và Trung Quốc, xâm nhập vào thiết bị của người dùng bằng cách ngụy trang thành tiền điện tử, cờ bạc và ứng dụng nhắn tin.
Mục tiêu cốt lõi của SparkKitty là đánh cắp tất cả các hình ảnh trong album, tập trung vào ảnh chụp màn hình của các cụm từ hạt giống từ ví tiền điện tử. Cụm từ ghi nhớ là thông tin đăng nhập duy nhất để khôi phục ví tiền điện tử và sau khi bị xâm phạm, kẻ tấn công có thể trực tiếp kiểm soát ví của người dùng và chuyển tất cả tài sản. So với SparkCat, công nghệ OCR (Nhận dạng ký tự quang học) của SparkKitty hiệu quả hơn và một số biến thể sử dụng Google ML Kit OCR để chỉ tải lên hình ảnh có văn bản, giảm gánh nặng cho máy chủ và cải thiện hiệu quả trộm cắp. Ngoài ra, vi-rút có thể thu thập dữ liệu nhạy cảm như mã định danh thiết bị và cookie trình duyệt, làm tăng nguy cơ đánh cắp danh tính và xâm phạm tài khoản.
Công phá khu vườn tường: Cửa hàng chính thức làm thế nào trở thành vector tấn công lớn nhất?
Điều khiến SparkKitty trở nên đáng chú ý nhất là nó đã thành công trong việc phá vỡ kênh phân phối ứng dụng được coi là an toàn nhất - Apple App Store và Google Play.
Cơ chế kiểm duyệt của cửa hàng ứng dụng chính thức tỏ ra bất lực trong cuộc chiến tấn công và phòng thủ này. Kẻ tấn công lợi dụng chiến lược "Trojan" để ngụy trang mã độc trong các ứng dụng tưởng chừng vô hại:
Sự thất bại của App Store: Một ứng dụng có tên "币coin" đã được phát hành thành công dưới vỏ bọc là giao diện theo dõi thị trường tiền điện tử đơn giản. Nó lợi dụng sự tin tưởng của người dùng vào công cụ theo dõi thị trường để dụ dỗ họ cấp quyền truy cập vào album ảnh.
Khu vực bị ảnh hưởng nặng nề của Google Play: Ứng dụng nhắn tin có tên "SOEX" tuyên bố cung cấp tính năng "trò chuyện và giao dịch mã hóa", với tổng số lượt tải xuống vượt quá 10.000 lần. Ngoài ra, các ứng dụng cá cược và trò chơi người lớn cũng đã được xác nhận là phương tiện truyền bá quan trọng của nó. Theo thống kê, kể từ thời SparkCat cho đến nay, tổng số lượt tải xuống của các ứng dụng độc hại liên quan trên Google Play đã vượt quá 242.000 lần.
Ngoài các kênh chính thức, kẻ tấn công còn hỗ trợ bằng ma trận truyền thông đa chiều:
Phân phối APK không chính thức: Phân phối các gói cài đặt APK giả mạo là phiên bản crack của TikTok, trò chơi blockchain phổ biến hoặc ứng dụng cá cược thông qua quảng cáo trên YouTube, nhóm Telegram và các trang tải xuống bên thứ ba.
Lạm dụng chứng chỉ doanh nghiệp iOS: Sử dụng chương trình phát triển doanh nghiệp của Apple, vượt qua sự kiểm tra nghiêm ngặt của App Store, cài đặt ứng dụng trực tiếp lên thiết bị người dùng thông qua liên kết web.
Các ứng dụng này khi cài đặt và chạy thường yêu cầu quyền (như truy cập album) được đóng gói thành nhu cầu chức năng cốt lõi của ứng dụng, người dùng rất dễ dàng cấp quyền mà không để ý, từ đó dẫn đến việc mời hổ về nhà.
Mười ngàn người bị thiệt hại, tài sản về không: Một cuộc tấn công "địa phương hóa" nhắm vào thị trường châu Á
Thị trường Đông Nam Á và Trung Quốc trở thành mục tiêu hàng đầu của SparkKitty. Đây không phải là ngẫu nhiên, mà là một chiến lược "địa phương hóa" được lên kế hoạch cẩn thận:
Hồ sơ người dùng chính xác: Những khu vực này là thị trường hoạt động cao cho các ứng dụng tiền điện tử và cá cược di động, với một lượng lớn người dùng và ý thức về an ninh tương đối yếu.
Cái bẫy của văn hóa và ngôn ngữ: Tên ứng dụng (như "币coin"), thiết kế giao diện và nội dung quảng cáo đều sử dụng ngôn ngữ địa phương, thậm chí nhúng các yếu tố trò chơi cờ bạc phổ biến tại địa phương, đã giảm đáng kể tâm lý phòng vệ của người dùng.
Mặc dù cuộc tấn công tập trung vào châu Á, nhưng Kaspersky cảnh báo rằng SparkKitty về mặt kỹ thuật là không biên giới, mã của nó có thể dễ dàng được sửa đổi để tấn công người dùng ở bất kỳ khu vực nào trên toàn cầu. Trên X (trước đây là Twitter), các chuyên gia an ninh và KOL tiền điện tử đã phát động một cuộc cảnh báo quy mô lớn, kêu gọi người dùng tự kiểm tra, tâm lý hoảng loạn của sự kiện đang lan rộng trong cộng đồng tiền điện tử toàn cầu. Mối nguy hiểm là đa tầng:
Tài sản ngay lập tức biến mất: Cụm từ ghi nhớ là chìa khóa duy nhất để phục hồi ví. Khi bị lộ, kẻ tấn công có thể chuyển đi tất cả tài sản tiền điện tử của người dùng chỉ trong vài phút, và gần như không thể thu hồi.
Sự riêng tư hoàn toàn bị lộ: Trong album có thể chứa nhiều thông tin riêng tư như chứng minh nhân dân, hộ chiếu, thẻ ngân hàng, ảnh gia đình, nếu bị các thế lực xấu lợi dụng thì hậu quả sẽ không thể tưởng tượng nổi.
Tài khoản liên kết: Cookies và chứng chỉ bị đánh cắp có thể dẫn đến việc người dùng bị chiếm đoạt tài khoản mạng xã hội, email thậm chí là tài khoản ngân hàng.
Suy ngẫm: Khi ảnh chụp cụm từ ghi nhớ trở thành "gót chân Achilles"
Các nhà phát triển nền tảng đang hành động. Google đã gỡ bỏ các ứng dụng liên quan, Apple cũng đã từng cấm gần một trăm tài khoản nhà phát triển do sự cố SparkCat. Nhưng đây giống như một trò chơi "đánh chuột" không bao giờ kết thúc. Chỉ cần kẻ tấn công có thể liên tục tìm ra lỗ hổng trong cơ chế kiểm duyệt, thì những "con ngựa thành Troy" mới sẽ liên tục xuất hiện.
Sự kiện SparkKitty đã gióng lên hồi chuông cảnh tỉnh cho toàn ngành, nó phơi bày ra vài tình huống khó khăn sâu sắc:
Cuộc khủng hoảng niềm tin của cửa hàng ứng dụng: Niềm tin của người dùng về "sự an toàn tuyệt đối" của cửa hàng chính thức đã bị phá vỡ. Các nền tảng cần phải áp dụng cơ chế phát hiện hành vi động chủ động và thông minh hơn, thay vì chỉ dựa vào việc quét mã tĩnh.
Mâu thuẫn vĩnh cửu giữa thói quen của người dùng và an ninh: Để tiện lợi, người dùng có xu hướng sử dụng cách đơn giản nhất - chụp màn hình - để sao lưu dữ liệu quan trọng nhất. Hành vi này chính là mắt xích yếu nhất trong hệ thống an ninh.
Nỗi khổ "km cuối" của an ninh tiền mã hóa: Dù ví phần cứng có an toàn đến đâu, các giao thức DeFi có phi tập trung đến đâu, miễn là người dùng mắc sai lầm trong việc quản lý cụm từ khôi phục ở "km cuối" này, tất cả các hàng rào bảo vệ sẽ trở nên vô nghĩa.
Làm thế nào để tự bảo vệ? Thà rằng sửa chữa sau khi mất dê, còn hơn là chuẩn bị trước khi trời mưa.
Loại bỏ thói quen xấu, sao lưu vật lý: Hoàn toàn từ bỏ thói quen sử dụng album, ghi chú hoặc bất kỳ dịch vụ đám mây nào có kết nối mạng để lưu trữ cụm từ ghi nhớ. Trở về phương pháp nguyên thủy và an toàn nhất: Sao lưu vật lý bằng tay và lưu trữ ở những vị trí an toàn khác nhau.
Nguyên tắc quyền hạn tối thiểu: Bảo vệ quyền truy cập vào điện thoại của bạn như một người keo kiệt. Tất cả các yêu cầu truy cập vào album, danh bạ, vị trí không cần thiết đều nên bị từ chối.
Thiết lập môi trường "phòng sạch": Cân nhắc sử dụng một chiếc điện thoại cũ chuyên dụng, cách ly mạng để quản lý tài sản tiền điện tử, không cài đặt bất kỳ ứng dụng nào có nguồn gốc không rõ ràng.
SparkKitty có thể sẽ bị tiêu diệt, nhưng "Kitty" tiếp theo đã đang được ấp ủ. Cuộc tấn công này nhắc nhở chúng ta rằng, an ninh trong thế giới Web3 không chỉ là cuộc chiến về mã nguồn và giao thức, mà còn là một cuộc chơi kéo dài về bản chất con người, thói quen và nhận thức. Giữ cảnh giác trước sự tiện lợi tuyệt đối là bài học bắt buộc cho mỗi công dân số.