นักวิจัยด้านความปลอดภัยไซเบอร์ได้เปิดเผยแคมเปญมัลแวร์ที่ซับซ้อนที่สามารถหลบเลี่ยงมาตรการรักษาความปลอดภัยในแอปสโตร์หลักทั้งสองแห่งเพื่อกำหนดเป้าหมายไปที่ผู้ใช้สกุลเงินดิจิทัล ภัยคุกคามนี้แสดงให้เห็นว่าผู้โจมตีกำลังพัฒนากลยุทธ์ของพวกเขาเพื่อใช้ประโยชน์จากพฤติกรรมทั่วไปของผู้ใช้ในพื้นที่สินทรัพย์ดิจิทัล
เทคโนโลยีการวิเคราะห์ภาพหน้าจอขั้นสูง
SparkKitty เป็นตัวแทนของมัลแวร์มือถือรุ่นใหม่ที่ใช้ประโยชน์จากเทคโนโลยีการรู้จำตัวอักษรด้วยแสง ( OCR ) เพื่อสแกนคลังรูปภาพของผู้ใช้โดยอัตโนมัติ นักวิจัยจาก Kaspersky ได้ระบุภัยคุกคามนี้เป็นครั้งแรกในเดือนมกราคม 2025 โดยเปิดเผยว่าเป้าหมายหลักคือการเก็บเกี่ยววลีกู้คืนกระเป๋าเงินสกุลเงินดิจิทัล มัลแวร์นี้กำหนดเป้าหมายเฉพาะไปที่ seed phrases ที่ผู้ใช้มักจะถ่ายภาพหน้าจอแทนการเขียนลงไว้อย่างปลอดภัย โดยใช้ประโยชน์จากแนวปฏิบัติด้านความปลอดภัยที่แพร่หลายในหมู่ผู้ที่ชื่นชอบคริปโต
รายละเอียดสำคัญของมัลแวร์ SparkKitty :
- วันที่ค้นพบ: มกราคม 2025 โดย Kaspersky
- ช่วงเวลาการแพร่กระจายที่ยังใช้งานอยู่: กุมภาพันธ์ 2024 - ปัจจุบัน
- แพลตฟอร์มที่ได้รับผลกระทบ: iOS และ Android
- ช่องทางการแพร่กระจาย: Google Play Store , Apple App Store , แหล่งที่ไม่เป็นทางการ
- ข้อมูลเป้าหมาย: วลีเมล็ดพันธุ์ของกระเป๋าเงินคริปโทเคอร์เรนซี, ภาพหน้าจอทางการเงิน
- เทคโนโลยีที่ใช้: การรู้จำตัวอักษรด้วยแสง (OCR)
การแพร่กระจายอย่างกว้างขวางผ่านช่องทางที่ถูกต้องตามกฎหมาย
แคมเปญมัลแวร์นี้ประสบความสำเร็จในการเข้าถึงผู้ใช้จำนวนมากโดยการแจกจ่ายแอปพลิเคชันที่ติดเชื้อผ่านทั้ง Google Play Store และ Apple App Store ตั้งแต่เดือนกุมภาพันธ์ 2024 ตัวอย่างที่ประสบความสำเร็จเป็นพิเศษคือแอป SOEX ที่ปลอมตัวเป็นแพลตฟอร์มส่งข้อความพร้อมฟีเจอร์การซื้อขายสกุลเงินดิจิทัล และสะสมการดาวน์โหลดได้มากกว่า 10,000 ครั้งก่อนที่จะถูกตรวจพบ แอปพลิเคชันที่ติดเชื้อครอบคลุมหลายหมวดหมู่รวมถึงแอปส่งข้อความ แพลตฟอร์มซื้อขายคริปโต TikTok โคลนที่ถูกดัดแปลง แอปพลิเคชันการพนัน และเกมที่มีเนื้อหาสำหรับผู้ใหญ่ ทำให้การตรวจจับเป็นเรื่องท้าทายมากขึ้นสำหรับทั้งผู้ใช้และระบบรักษาความปลอดภัยอัตโนมัติ
แอปพลิเคชันที่ติดเชื้อที่น่าสังเกต:
- แอป SOEX : แอปส่งข้อความที่มีฟีเจอร์ซื้อขายคริปโต (ดาวน์โหลดมากกว่า 10,000 ครั้ง)
- หมวดหมู่อื่นๆ: TikTok โคลนที่ถูกดัดแปลง, แอปพนัน, เกมสำหรับผู้ใหญ่, ร้านค้าคริปโตปลอม
- สถานะปัจจุบัน: ถูกลบออกจากแอปสโตร์อย่างเป็นทางการแล้ว
การดำเนินการเก็บเกี่ยวข้อมูลที่ซับซ้อน
เมื่อติดตั้งแล้ว SparkKitty จะขอสิทธิ์ในการเข้าถึงคลังรูปภาพของอุปกรณ์ทั้งบนแพลตฟอร์ม iOS และ Android มัลแวร์นี้ทำงานในสองโหมดที่แตกต่างกัน: เวอร์ชันครอบคลุมที่คัดลอกรูปภาพทั้งหมดจากแกลเลอรีของอุปกรณ์ และตัวแปรที่กำหนดเป้าหมายที่ใช้ OCR เฉพาะเพื่อระบุข้อมูลทางการเงินภายในภาพหน้าจอ ระบบนี้ตรวจสอบการเปลี่ยนแปลงของคลังรูปภาพอย่างต่อเนื่อง โดยสแกนรูปภาพใหม่โดยอัตโนมัติเมื่อมีการเพิ่มหรือเมื่อรูปภาพที่มีอยู่ถูกแก้ไข
ผลกระทบด้านความปลอดภัยนอกเหนือจากสกุลเงินดิจิทัล
แม้ว่าจุดสนใจหลักจะยังคงอยู่ที่ seed phrases ของกระเป๋าเงินสกุลเงินดิจิทัล ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่าความสามารถของมัลแวร์นี้ขยายไปถึงข้อมูลสำคัญใดๆ ที่เก็บไว้ในภาพหน้าจอ ซึ่งรวมถึงเอกสารประจำตัว รหัสผ่าน รหัสสำรองการยืนยันตัวตนสองขั้นตอน และข้อมูลลับอื่นๆ ที่ผู้ใช้มักจะถ่ายภาพและจัดเก็บไว้ในอุปกรณ์ของพวกเขา ศักยภาพในการขู่กรรโชกโดยใช้รูปภาพส่วนตัวที่ถูกบุกรุกเป็นเวกเตอร์ภัยคุกคามเพิ่มเติม แม้ว่านักวิจัยจะยังไม่ได้บันทึกกิจกรรมดังกล่าวก็ตาม
คำแนะนำในการป้องกัน:
- ตรวจสอบและเพิกถอนสิทธิ์การเข้าถึงรูปภาพ/กล้องของแอปที่ไม่จำเป็น
- หลีกเลี่ยงการเก็บข้อมูลที่มีความละเอียดอ่อนไว้ในภาพหน้าจอ
- ใช้โปรแกรมจัดการรหัสผ่านที่เข้ารหัสสำหรับ seed phrases
- ตรวจสอบผู้พัฒนาแอปและอ่านรีวิวก่อนดาวน์โหลด
- ติดตามแอปที่ขอสิทธิ์เข้าถึงมากเกินไปหรือขอเข้าถึง configuration profile
กลยุทธ์การป้องกันและแนวปฏิบัติที่ดีที่สุด
ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำมาตรการป้องกันหลายประการเพื่อป้องกัน SparkKitty และภัยคุกคามที่คล้ายกัน ผู้ใช้ควรตรวจสอบสิทธิ์ของแอปเป็นประจำ โดยเอาการเข้าถึงรูปภาพ กล้อง และพื้นที่จัดเก็บออกสำหรับแอปพลิเคชันที่ไม่จำเป็นต้องใช้ฟังก์ชันเหล่านี้ การติดตั้งแอปพลิเคชันเฉพาะจากแอปสโตร์อย่างเป็นทางการให้การป้องกันในระดับหนึ่ง แม้ว่าเหตุการณ์นี้จะแสดงให้เห็นว่าซอฟต์แวร์ที่เป็นอันตรายยังสามารถเจาะเข้าไปในแพลตฟอร์มเหล่านี้ได้ สิ่งที่สำคัญที่สุดคือ ผู้ใช้ควรหลีกเลี่ยงการจัดเก็บข้อมูลสำคัญในภาพหน้าจอ แต่ควรใช้ตัวจัดการรหัสผ่านที่เข้ารหัสหรือโซลูชันคลาวด์สโตเรจที่ปลอดภัยสำหรับวลีกู้คืนที่สำคัญและข้อมูลลับแทน