ระวัง! SparkKitty สปายโทรจันใหม่บน App Store - Google Play เล็งขโมยคริปโต | ฐานเศรษฐกิจ

อัพเดต 1 วันที่แล้ว • เผยแพร่ 4 ชั่วโมงที่ผ่านมา

นักวิจัยของแคสเปอร์สกี้ (Kaspersky) ค้นพบสปายโทรจันตัวใหม่ชื่อว่า SparkKitty ซึ่งกำหนดเป้าหมายไปที่สมาร์ทโฟนระบบ iOS และ Android โดยจะส่งรูปภาพและข้อมูลเกี่ยวกับอุปกรณ์จากโทรศัพท์ที่ติดมัลแวร์ไปยังผู้โจมตี มัลแวร์นี้ฝังอยู่ในแอปที่เกี่ยวข้องกับคริปโตและการพนัน รวมถึงแอปที่มีโทรจันใน TikTok และแพร่กระจายบนApp Store และGoogle Play รวมถึงเว็บไซต์หลอกลวงต่างๆ เป้าหมายของผู้โจมตีคือการขโมยสินทรัพย์สกุลเงินดิจิทัล หรือ คริปโตจากผู้ใช้ในภูมิภาคเอเชียตะวันออกเฉียงใต้และจีน

แคสเปอร์สกี้ได้แจ้งให้ Google และ Apple ทราบเกี่ยวกับแอปที่เป็นอันตรายนี้แล้ว รายละเอียดทางเทคนิคบางส่วนบ่งชี้ว่าแคมเปญมัลแวร์ใหม่มีความเชื่อมโยงกับโทรจัน SparkCat ที่เคยค้นพบก่อนหน้านี้ ซึ่งเป็นมัลแวร์ (ตัวแรกใน iOS) ที่มีโมดูลการจดจำอักขระด้วยแสง (Optical Character Recognition - OCR) ในตัว ซึ่งช่วยสแกนแกลเลอรีรูปภาพและขโมยภาพแคปหน้าจอที่มีวลีการกู้คืนและพาสเวิร์ดของคริปโตวอลเล็ต กรณี SparkKitty นับเป็นครั้งที่สองในรอบปีนี้ที่นักวิจัยแคสเปอร์สกี้พบโทรจันตัวขโมย (Trojan stealer) บนApp Store ต่อจาก SparkCat

iOS

โทรจันบน App Store แอบอ้างว่าเป็นแอปที่เกี่ยวข้องกับสกุลเงินดิจิทัล - 币coin ส่วนมัลแวร์บนเพจฟิชชิงที่เลียนแบบ App Store อย่างเป็นทางการของ iPhone มัลแวร์นั้นถูกเผยแพร่ใต้รูปลักษณ์ของ TikTok และแอปพลิเคชันการพนัน

แอปแลกเปลี่ยนคริปโตที่อ้างว่าชื่อว่า 币coin บน App Store

เว็บเพจเลียนแบบ AppStore เพื่อติดตั้งแอป TikTok ปลอมผ่านเครื่องมือของนักพัฒนา

เว็บสโตร์ปลอมฝังอยู่ในแอป TikTok

เซอร์เจย์ พูซาน ผู้เชี่ยวชาญมัลแวร์ แคสเปอร์สกี้ กล่าวว่า “หนึ่งในเวกเตอร์การแพร่กระจายของโทรจันเป็นเว็บไซต์ปลอมที่ผู้โจมตีพยายามติดมัลแวร์บน iPhone ของเหยื่อ iOS วิธีการติดตั้งโปรแกรมที่ไม่ได้มาจาก App Store ในแคมเปญที่เป็นอันตรายนี้มีหลายวิธี ผู้โจมตีใช้วิธีหนึ่งในนั้น คือใช้เครื่องมือพิเศษสำหรับนักพัฒนาสำหรับแจกจ่ายแอปพลิเคชันธุรกิจขององค์กร สำหรับใน TikTok เวอร์ชันที่ติดมัลแวร์ แอปที่อยู่ในระหว่างการอนุญาต ตัวมัลแวร์จะขโมยรูปภาพจากแกลเลอรีสมาร์ทโฟน อีกทั้งยังฝังลิงก์ไปยังร้านค้าที่น่าสงสัยในหน้าต่างโปรไฟล์ของผู้ใช้ ร้านค้านี้รับเฉพาะเงินคริปโตเท่านั้น ซึ่งเพิ่มความกังวลของแคสเปอร์สกี้ในเรื่องนี้”

Android

ผู้โจมตีกำหนดเป้าหมายโจมตีผู้ใช้ทั้งบนเว็บไซต์ของเธิร์ดปาร์ตี้และบน Google Play โดยแอบอ้างว่ามัลแวร์เป็นบริการคริปโตต่างๆ ตัวอย่างเช่น แอปพลิเคชันที่ติดมัลแวร์ตัวหนึ่งซึ่งเป็นโปรแกรมส่งข้อความชื่อ SOEX มีฟังก์ชันแลกเปลี่ยนเงินคริปโต ถูกดาวน์โหลดจากร้านค้าอย่างเป็นทางการมากกว่า 10,000 ครั้ง

แอปที่อ้างว่าแลกเปลี่ยนคริปโตชื่อ SOEX บน Google Play

ผู้เชี่ยวชาญยังพบไฟล์ APK ของแอปที่ติดมัลแวร์ (ซึ่งสามารถติดตั้งได้โดยตรงบนสมาร์ทโฟน Android โดยไม่ต้องผ่านร้านค้าอย่างเป็นทางการ) บนเว็บไซต์ของเธิร์ดปาร์ตี้ ซึ่งอาจเกี่ยวข้องกับแคมเปญอันตรายที่ตรวจพบ แอปเหล่านี้ถูกจัดวางเป็นโครงการลงทุนด้านคริปโต เว็บไซต์ที่โพสต์แอปเหล่านี้จะถูกโฆษณาบนโซเชียลเน็ตเวิร์กต่างๆ รวมถึง YouTube

ดิมิทรี คาลินิน ผู้เชี่ยวชาญมัลแวร์ แคสเปอร์สกี้ กล่าวว่า “หลังจากติดตั้งแอปแล้ว แอปจะทำงานงานตามรายละเอียดที่ระบุไว้ในคำอธิบายแอป แต่ในระหว่างนั้น ก็จะส่งรูปภาพจากแกลเลอรีสมาร์ทโฟนไปยังผู้โจมตีด้วย จากนั้นผู้โจมตีอาจพยายามค้นหาข้อมูลลับต่างๆ ในรูปภาพ เช่น วลีการกู้คืนคริปโตวอลเล็ตเพื่อเข้าถึงทรัพย์สินของเหยื่อ ผู้เชี่ยวชาญพบว่ามีสัญญาณทางอ้อมที่บ่งบอกว่าผู้โจมตีสนใจทรัพย์สินดิจิทัลของผู้ใช้ อย่างเช่น พบแอปติดมัลแวร์หลายตัวที่เกี่ยวข้องกับคริปโต และแอป TikTok ที่ถูกโทรจันโจมตี ยังมีร้านค้าบิ้วต์อินที่ยอมรับการชำระเงินค่าสินค้าด้วยคริปโตเท่านั้น”