SparkCat คืออะไร ทำงานอย่างไร ? มัลแวร์ตัวแรกบน AppStore ลอบขโมยข้อมูลคริปโตผ่านรูปภาพ

Kaspersky บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ออกคำเตือนเกี่ยวกับมัลแวร์ตัวใหม่ SparkCat ซึ่งถูกพบในแอปพลิเคชันบน AppStore และ Google Play ตั้งแต่ช่วงเดือนมีนาคม 2024 นี่เป็นครั้งแรกที่พบมัลแวร์แบบ OCR ใน AppStore

โดยมัลแวร์ตัวนี้มีความสามารถพิเศษในการ ใช้เทคโนโลยีจดจำข้อความจากภาพ (OCR - Optical Character Recognition) เพื่อสแกนข้อความในรูปภาพที่อยู่ในแกลเลอรีของโทรศัพท์ และขโมยข้อมูลสำคัญ เช่น Recovery Phrase (ชุดคำศัพท์ภาษาอังกฤษง่าย ๆ ตั้งแต่ 12–24 คำที่ถูกระบบของกระเป๋าดิจิทัลสุ่มสร้างขึ้นมา ใช้สำหรับกู้ Private key เพื่อให้ผู้ใช้สามารถเข้าถึงสินทรัพย์ดิจิทัล) และรหัสผ่าน

SparkCat ถูกพบว่าแพร่กระจายผ่านแอปพลิเคชันที่ดูน่าเชื่อถือ รวมถึงแอปประเภทต่าง ๆ เช่น

• แอปพลิเคชันแชทและโซเชียลมีเดีย
• แอป AI ผู้ช่วยส่วนตัว
• แอปส่งอาหาร
• แอปที่เกี่ยวข้องกับคริปโต

จากข้อมูลของ Kaspersky พบว่า แอปที่มีมัลแวร์ใน Google Play มียอดดาวน์โหลดไปแล้วกว่า 242,000 ครั้ง ซึ่งหมายความว่าผู้ใช้จำนวนมากอาจได้รับผลกระทบ

SparkCat ทำงานอย่างไร ?

1. มัลแวร์ขอสิทธิ์เข้าถึง แกลเลอรีรูปภาพ โดยอ้างว่าเป็นฟีเจอร์ปกติของแอป
2. ใช้เทคโนโลยี OCR เพื่อวิเคราะห์ข้อความในภาพที่ถูกเก็บไว้ในอุปกรณ์
3. ค้นหาคำสำคัญที่เกี่ยวข้องกับ กระเป๋าเงินคริปโต, รหัสผ่าน และข้อมูลสำคัญอื่น ๆ
4. ส่งภาพที่มีข้อมูลสำคัญไปยังเซิร์ฟเวอร์ของผู้ไม่หวังดี เพื่อใช้ในการเข้าถึงบัญชีของเหยื่อ

สิ่งที่ทำให้มัลแวร์ตัวนี้อันตรายคือ การขอสิทธิ์ดูแกลเลอรีนั้นดูสมเหตุสมผลและแนบเนียน เช่น ในกรณีที่ผู้ใช้ต้องการอัปโหลดรูปภาพหรือส่งภาพให้ฝ่ายสนับสนุนลูกค้า ทำให้ผู้ใช้ไม่ทันระวัง

กลุ่มเป้าหมายของ SparkCat ?

จากการวิเคราะห์พบว่า มัลแวร์ตัวนี้เน้นโจมตีผู้ใช้ใน สหรัฐอาหรับเอมิเรตส์ (UAE), ยุโรป และเอเชีย โดยพิจารณาจาก ประเทศที่มีผู้ใช้งานแอปติดมัลแวร์ และภาษาที่มัลแวร์สามารถอ่านได้ ได้แก่

1. อังกฤษ
2. จีน
3. ญี่ปุ่น
4. เกาหลี
5. เช็ก
6. ฝรั่งเศส
7. อิตาลี
8. โปแลนด์
9. โปรตุเกส

ถึงแม้จะยังไม่มีข้อมูลแน่ชัดเกี่ยวกับกลุ่มผู้อยู่เบื้องหลัง แต่พบหลักฐานบางอย่างที่บ่งชี้ว่า มัลแวร์นี้อาจพัฒนาโดยกลุ่มที่ใช้ภาษาจีน

แนวทางการป้องกันมัลแวร์ SparkCat

• หากคุณติดตั้งแอปที่อาจมีมัลแวร์ ให้ลบออกจากอุปกรณ์ทันที
• หลีกเลี่ยงการเก็บ Recovery Phrase หรือรหัสผ่านไว้ในรูปภาพ
• ใช้แอป Password Manager เพื่อจัดเก็บข้อมูลสำคัญแทน
• ติดตั้ง ซอฟต์แวร์ป้องกันไวรัส ที่สามารถตรวจจับมัลแวร์ประเภทนี้ได้

อ้างอิง: www.kaspersky.co.za