Cảnh báo về phần mềm gián điệp SparkKitty nhắm vào người dùng iPhone và Android

Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (PA05) Công an TP.HCM vừa phát đi cảnh báo về một phần mềm gián điệp mới, SparkKitty, nhắm vào người dùng iPhone và Android. Phần mềm độc hại này có khả năng đánh cắp dữ liệu cá nhân và chiếm đoạt tài sản của người dùng, gây ra những rủi ro bảo mật nghiêm trọng.

SparkKitty được phát hiện bởi các chuyên gia bảo mật của công ty Kaspersky, một trong những tổ chức an ninh mạng hàng đầu thế giới. Phần mềm này có thể tấn công trên cả hệ điều hành iOS và Android, hai nền tảng di động phổ biến nhất hiện nay. Điều này có nghĩa là bất kỳ người dùng smartphone nào cũng có thể trở thành mục tiêu của phần mềm gián điệp này.

Các chuyên gia bảo mật đã xác định được cách thức hoạt động của SparkKitty. Phần mềm này sử dụng công nghệ nhận diện ký tự quang học (OCR) để quét toàn bộ ảnh chụp màn hình trong thư viện ảnh của người dùng. Mục tiêu của nó là tìm kiếm các dữ liệu nhạy cảm như mật khẩu, mã khôi phục ví tiền điện tử và các thông tin quan trọng khác. Khi phát hiện được thông tin nhạy cảm, SparkKitty sẽ gửi chúng về máy chủ do tin tặc điều khiển, cho phép chúng chiếm đoạt và sử dụng dữ liệu này cho các mục đích xấu.

Trước mối đe dọa này, PA05 đã đưa ra cảnh báo và khuyến cáo người dùng cần phải thận trọng. Nếu người dùng đã tải về ứng dụng này, cần gỡ ngay khỏi thiết bị để bảo vệ an toàn thông tin cá nhân. Đồng thời, cơ quan chức năng cũng đưa ra một số biện pháp phòng ngừa quan trọng.

PA05 khuyến cáo người dùng không lưu trữ hình ảnh chứa thông tin nhạy cảm trên điện thoại. Thay vào đó, người dùng nên sử dụng các phương tiện lưu trữ an toàn và bảo mật hơn. Ngoài ra, người dùng tuyệt đối không cài đặt các ứng dụng không rõ nguồn gốc, vì chúng có thể chứa phần mềm độc hại như SparkKitty.

Người dùng cũng nên hạn chế cấp quyền truy cập thư viện ảnh cho các ứng dụng lạ. Điều này có thể ngăn chặn phần mềm gián điệp tiếp cận và đánh cắp thông tin cá nhân của người dùng. Thường xuyên kiểm tra lại danh sách quyền truy cập của các ứng dụng đã cài đặt trên điện thoại là một biện pháp phòng ngừa hiệu quả.

Nếu người dùng phát hiện các ứng dụng đáng ngờ hoặc nghi ngờ bị xâm phạm dữ liệu cá nhân, cần liên hệ ngay với cơ quan công an. PA05 và các cơ quan chức năng khác sẵn sàng hỗ trợ và giúp đỡ người dùng trong việc xử lý và bảo vệ thông tin cá nhân.

Kaspersky là một trong những công ty an ninh mạng hàng đầu thế giới, chuyên cung cấp các giải pháp bảo mật và phòng chống tội phạm mạng. Việc phát hiện và cảnh báo về phần mềm gián điệp SparkKitty cho thấy sự quan tâm và nỗ lực của Kaspersky trong việc bảo vệ người dùng và ngăn chặn các mối đe dọa an ninh mạng.

Trong thời đại số, việc bảo vệ thông tin cá nhân và thiết bị di động của người dùng trở nên quan trọng hơn bao giờ hết. Cảnh báo về phần mềm gián điệp SparkKitty là một lời nhắc nhở quan trọng về việc người dùng cần phải thận trọng và chủ động trong việc bảo vệ mình trước các mối đe dọa an ninh mạng.

Một nghiên cứu mới được trình bày tại hội nghị an ninh mạng Black Hat 2025 đã chỉ ra rằng trí tuệ nhân tạo (AI) có thể được huấn luyện để tạo ra mã độc có khả năng evasion đối với phần mềm diệt virus Microsoft Defender. Nghiên cứu này được thực hiện bởi Kyle Avery, người đã sử dụng một mô hình mã nguồn mở Qwen2.5 kết hợp với kỹ thuật học tăng cường để dạy AI cách viết mã độc có thể vượt qua hệ thống phát hiện hiện đại của Microsoft Defender.

Với ngân sách hạn chế chỉ 1.500 đô la và thời gian khoảng ba tháng, Avery đã đạt được tỷ lệ ‘tránh né thành công’ lên tới 8%. Quá trình huấn luyện AI diễn ra trong một môi trường mô phỏng có cài Microsoft Defender. Mỗi khi AI tạo ra một đoạn mã độc, hệ thống sẽ đánh giá dựa trên khả năng chạy được và mức độ bị phát hiện. Dựa trên phản hồi này, AI học và điều chỉnh cho đến khi đạt được thành công.

Mặc dù tỷ lệ 8% có vẻ thấp, nhưng trong các cuộc tấn công quy mô lớn, điều này có thể tạo ra hậu quả nghiêm trọng. Tuy nhiên, cũng cần lưu ý rằng Microsoft Defender vẫn chặn được 92% mã độc. Hơn nữa, các hệ thống phòng thủ nhiều lớp khác như phân tích hành vi và phát hiện bằng học máy cũng giúp tăng cường bảo mật.

Điều đáng nói là nghiên cứu này mở ra một hướng tấn công mới, nơi tội phạm không cần kỹ năng sâu về lập trình mà chỉ cần biết cách huấn luyện AI. Người dùng cá nhân không cần phải hoảng loạn nhưng cần có biện pháp phòng ngừa. Việc cập nhật phần mềm thường xuyên, sử dụng phần mềm diệt virus uy tín, tránh nhấn vào link lạ và file không rõ nguồn gốc là những bước cơ bản nhưng hiệu quả.

Cuộc đua giữa AI tấn công và AI phòng thủ đang diễn ra không ngừng nghỉ. AI giờ đây không chỉ giúp hacker tạo mã độc hiệu quả hơn mà các công cụ bảo mật cũng tích hợp công nghệ học máy để phân tích hành vi và phát hiện bất thường. Trong thời đại AI, không có hệ thống nào là bất khả xâm phạm, nhưng với sự chủ động và thích ứng, người dùng vẫn có thể kiểm soát và bảo vệ thông tin của mình.

Như vậy, việc ứng dụng AI trong lĩnh vực an ninh mạng đang trở nên phổ biến và rộng rãi. Các chuyên gia an ninh mạng cần phải liên tục cập nhật kiến thức và kỹ năng để có thể đối phó với những mối đe dọa mới. Đồng thời, người dùng cũng cần phải nâng cao nhận thức về an ninh mạng và có những biện pháp phòng ngừa hiệu quả để bảo vệ thông tin cá nhân.

Về lâu dài, việc nghiên cứu và phát triển các công nghệ bảo mật mới sẽ là chìa khóa để đối phó với những mối đe dọa ngày càng tinh vi. Đồng thời, việc tăng cường hợp tác giữa các chuyên gia an ninh mạng, các nhà nghiên cứu và các nhà sản xuất phần mềm sẽ giúp tạo ra một môi trường an toàn hơn cho người dùng.

Ngày 12/6, một sự việc đáng tiếc đã xảy ra với chị N.N, chủ sở hữu thương hiệu túi xách khi nhận được một tập tin nén định dạng .RAR từ một người lạ qua Zalo. Người gửi tự xưng là khách hàng có nhu cầu mua sỉ và đề nghị mở tập tin để xem nội dung. Tuy nhiên, hành động mở tập tin này đã trở thành bước đầu tiên trong một chuỗi các sự kiện không may mà chị N.N phải trải qua.

Khi mở tập tin, hệ thống báo lỗi và không hiển thị gì cả, chị N.N đã tắt đi và định để hôm sau kiểm tra lại. Tuy nhiên, cú nhấp chuột đó đã cho phép tin tặc cài đặt mã độc vào máy tính của chị. Kẻ gian đã âm thầm chiếm quyền kiểm soát toàn bộ thiết bị của chị mà không để lại bất kỳ dấu hiệu bất thường nào.

Trong 7 ngày tiếp theo, chị N.N vẫn làm việc bình thường, nhưng các thao tác đăng nhập, bao gồm cả cookie, ID và thông tin bảo mật, đều bị theo dõi và ghi lại. Việc để máy tính hoạt động liên tục, không tắt sau giờ làm, cũng vô tình tạo điều kiện cho tin tặc có thời gian truy cập và thao tác không ngừng.

Đến ngày 19/6, tin tặc bắt đầu hành động, chiếm quyền Facebook cá nhân và vô hiệu hóa không thể khôi phục, mất quyền quản lý Business Manager trên Meta, thất thoát tài sản kinh doanh gồm fanpage chính cùng các tài khoản quảng cáo liên kết cùng tài khoản Instagram. Về tài chính, do kết nối thẻ tín dụng với tài khoản quảng cáo, tin tặc đã gắn chiến dịch quảng cáo ảo và trừ tiền trực tiếp từ thẻ. Nền tảng Meta không yêu cầu OTP cho mỗi giao dịch, tạo kẽ hở cho hành vi này.

Chị N.N hoàn toàn không biết mình đã bị tấn công máy tính cho đến khi hàng loạt thiệt hại xảy ra dồn dập vào ngày 19/6. Cảm giác hoang mang bao trùm khi nạn nhân tin rằng bản thân đã thiết lập bảo mật hai lớp đầy đủ và sử dụng mật khẩu phức tạp.

Mãi đến tối ngày 21/6, sau khi nhớ lại tình huống kỳ lạ hôm 12/6 và nhờ một người bạn kiểm tra tập tin ‘báo giá’, sự thật mới được phơi bày: đó chính là một tập tin chứa mã độc, đã giúp tin tặc cài đặt phần mềm điều khiển từ xa và theo dõi mọi hoạt động trong suốt bảy ngày trước khi ra tay.

Theo chị N.N, điều khiến cô kiệt quệ nhất không chỉ là tài chính mà là tổn thất tinh thần trong suốt hơn một tháng cố gắng vực dậy sau biến cố. Toàn bộ hệ thống kinh doanh, từ fanpage, tài khoản quảng cáo đến kênh Instagram đều bị sập đột ngột, buộc cô phải bắt đầu lại gần như từ con số 0.

Quá trình liên hệ với Meta để khôi phục tài khoản cũng là một hành trình đầy thử thách. Chị N.N chia sẻ hầu hết các biểu mẫu hỗ trợ của Meta đều được xử lý tự động bằng AI, khiến tỷ lệ được con người thật sự phản hồi là rất thấp.

Dưới góc độ kỹ thuật, ông Ngô Tuấn Anh – Tổng giám đốc Công ty An ninh mạng SCS cho biết hình thức lừa gửi các tập tin nén để chiếm đoạt tài khoản khá phổ biến. Kẻ lừa đảo đã lợi dụng lỗ hổng trên phần mềm giải nén WinRAR của nạn nhân, vốn chưa được cập nhật bản vá.

Khi nghi ngờ trở thành nạn nhân của tin tặc, chuyên gia khuyến nghị hành động nhanh chóng để giảm thiểu thiệt hại tối đa. Điều đầu tiên cần làm là ngắt kết nối mạng của máy tính vừa thao tác. Đồng thời, người dùng cần đổi ngay tất cả mật khẩu tài khoản mạng xã hội, email, dịch vụ ngân hàng trực tuyến và thiết lập bảo mật hai yếu tố (2FA).

Chị N.N cũng đưa ra lời khuyên cho mọi người nên cảnh giác với tập tin lạ, tách bạch tài khoản cá nhân và kinh doanh, không đăng nhập tài khoản quan trọng trên máy tính công cộng, mạng hay thiết bị lạ, sao lưu định kỳ tài liệu và luôn có tài khoản dự phòng để có thể làm quản trị viên thay thế trong trường hợp khẩn cấp.

Bộ Công an đề xuất các doanh nghiệp cung cấp dịch vụ thư điện tử và lưu trữ dữ liệu phải tích hợp hệ thống lọc phần mềm độc hại trong toàn bộ quá trình gửi, nhận và lưu trữ thông tin. Đề xuất này được nêu trong dự thảo Luật An ninh mạng sửa đổi, hiện đang được lấy ý kiến từ các bộ, ngành.

Dự luật được xây dựng trên cơ sở hợp nhất hai văn bản pháp luật hiện hành là Luật An toàn thông tin mạng (2015) và Luật An ninh mạng (2018). Một trong những điểm mới đáng chú ý của dự thảo là quy định cụ thể về việc phòng ngừa, phát hiện và xử lý phần mềm độc hại.

Theo đó, các doanh nghiệp cung cấp dịch vụ thư điện tử, truyền đưa và lưu trữ thông tin phải triển khai hệ thống giám sát, lọc mã độc trong suốt quá trình vận hành, đồng thời có trách nhiệm báo cáo cho cơ quan chức năng có thẩm quyền. Các nhà cung cấp dịch vụ Internet cũng phải thực hiện các biện pháp ngăn chặn hành vi phát tán phần mềm độc hại.

Các cơ quan, tổ chức và cá nhân có trách nhiệm tuân thủ hướng dẫn kỹ thuật của cơ quan quản lý nhà nước để đảm bảo an toàn thông tin. Dự thảo luật cũng đưa ra định nghĩa phần mềm độc hại là các chương trình có khả năng gây rối loạn hệ thống thông tin hoặc thực hiện các hành vi xâm nhập trái phép như sao chép, chỉnh sửa, xóa dữ liệu trong hệ thống.

Ở Việt Nam, với tốc độ phát triển Internet nhanh nhất thế giới và dẫn đầu khu vực Đông Nam Á về số lượng tên miền quốc gia, cùng với việc tiến tới mô hình chính phủ điện tử toàn diện, dân số trẻ, trình độ học vấn cao và tỷ lệ sử dụng điện thoại thông minh, mạng xã hội cùng các nền tảng trực tuyến ở mức cao, đã đặt ra những thách thức mới về an ninh mạng.

Quốc gia này cũng thường xuyên nằm trong top 10 nước có lưu lượng dữ liệu xuyên biên giới lớn nhất toàn cầu. Tuy nhiên, thực tế cho thấy an ninh mạng vẫn đang đối mặt nhiều rủi ro nghiêm trọng, ảnh hưởng đến an ninh quốc gia, trật tự xã hội và quyền lợi hợp pháp của người dân, tổ chức.

Các cuộc tấn công mạng, hoạt động gián điệp mạng và tình trạng rò rỉ, mất mát thông tin bí mật Nhà nước ngày càng tinh vi và phức tạp. Tin tặc liên tục nâng cấp mã độc, triển khai các chiến dịch tấn công có chủ đích nhằm vào hệ thống mạng của các cơ quan Trung ương, doanh nghiệp lớn và tập đoàn trọng điểm.

Trước tình hình này, Bộ Công an nhấn mạnh sự cần thiết phải khẩn trương hoàn thiện khung pháp lý, tăng cường quản lý nhà nước trong lĩnh vực an ninh mạng và siết chặt công tác phòng, chống tội phạm công nghệ cao, đặc biệt là hành vi xâm phạm dữ liệu cá nhân. Chính phủ dự kiến sẽ trình Quốc hội xem xét, thông qua dự thảo luật này tại kỳ họp thứ 10 diễn ra vào cuối năm nay.

Ngày 7/7/2025, Microsoft đã phát đi cảnh báo bảo mật khẩn cấp về một chiến dịch tấn công có chủ đích nhắm vào hệ thống SharePoint Server on-premises. Được biết, cuộc tấn công này được thực hiện bởi ba nhóm tin tặc có nguồn gốc Trung Quốc, bao gồm Linen Typhoon, Violet Typhoon và Storm-2603. Các nhóm tấn công mạng này đã tận dụng một chuỗi các lỗ hổng bảo mật nghiêm trọng, cho phép chúng vượt qua xác thực, thực thi mã từ xa và chiếm quyền kiểm soát hệ thống nội bộ.

Đặc biệt, vào ngày 18/7/2025, một trong những nạn nhân bị xâm nhập được xác nhận là Cơ quan Quản lý An ninh Hạt nhân Quốc gia Mỹ (NNSA), thuộc Bộ Năng lượng Hoa Kỳ. Mặc dù chỉ có một số hệ thống bị ảnh hưởng và chưa phát hiện ra bất kỳ trường hợp rò rỉ dữ liệu mật nào, vụ việc này đã cho thấy quy mô và mức độ tinh vi của làn sóng tấn công. Theo thông tin từ Microsoft, bốn lỗ hổng được khai thác trong đợt tấn công này bao gồm CVE-2025-49706, CVE-2025-49704, CVE-2025-53770 và CVE-2025-53771. Những lỗ hổng này ảnh hưởng đến các phiên bản SharePoint Server 2016, 2019 và Subscription Edition cài đặt tại chỗ.

Để bảo vệ hệ thống trước làn sóng tấn công này, Microsoft đã nhanh chóng phát hành các bản vá bảo mật tương ứng. Ngoài ra, Microsoft cũng khuyến nghị các tổ chức triển khai ngay các biện pháp phòng thủ, bao gồm kích hoạt AMSI ở chế độ Full Mode, trang bị Microsoft Defender Antivirus, xoay vòng khóa xác thực ASP.NET và khởi động lại dịch vụ IIS. Cơ quan Quản lý An ninh mạng và Bảo mật Thông tin (CISA) cũng đã thêm CVE-2025-53771 vào danh sách cần khắc phục khẩn cấp vào ngày 22/7/2025, với hạn chót thực hiện chỉ sau đó một ngày.

Các chuyên gia an ninh mạng cũng cảnh báo rằng việc kết hợp giữa bypass xác thực và thực thi mã từ xa là công thức lý tưởng cho các chiến dịch tấn công mã hóa dữ liệu. Do đó, việc cập nhật bản vá không còn là lựa chọn, mà đó là hành động sống còn trong bối cảnh kẻ tấn công đã có sẵn đường đi, chỉ chờ thời cơ để bước vào. Điều này đòi hỏi các tổ chức và doanh nghiệp phải nhanh chóng thực hiện các biện pháp bảo mật cần thiết để ngăn chặn và giảm thiểu rủi ro từ các cuộc tấn công mạng.

Thông tin chi tiết về các lỗ hổng bảo mật có thể được tìm thấy tại các nguồn sau: Microsoft Security Guidance và CISA. Các tổ chức cần ưu tiên áp dụng các bản vá và thực hiện các biện pháp phòng thủ để bảo vệ hệ thống của mình trước các mối đe dọa an ninh mạng.