บริษัทด้านความปลอดภัยไซเบอร์ Kaspersky ออกคำเตือนเกี่ยวกับมัลแวร์ตัวใหม่ชื่อ SparkKitty ซึ่งถูกออกแบบมาเพื่อขโมยรูปภาพจากอุปกรณ์ที่ติดเชื้อ โดยมีเป้าหมายหลักคือค้นหาภาพหน้าจอที่มี Seed Phrase ของกระเป๋าคริปโต
วิธีการโจมตีของ SparkKitty
นักวิเคราะห์ของ Kaspersky คุณ Sergey Puzan และ Dmitry Kalinin อธิบายว่า:
- มัลแวร์ตัวนี้โจมตีทั้งระบบ iOS และ Android
- มันถูกฝังอยู่ในแอปที่ดูเหมือนถูกกฎหมายซึ่งถูกอัปโหลดขึ้นทั้งบน Apple App Store และ Google Play
- เมื่ออุปกรณ์ติดเชื้อ มัลแวร์จะขโมย “ภาพทั้งหมดในแกลเลอรี” โดยไม่เลือก
แม้เป้าหมายหลักคือการค้นหา Seed Phrase แต่รูปภาพที่ถูกขโมยอาจมีข้อมูลสำคัญอื่น ๆ ด้วย เช่น บัตรประชาชน รหัสผ่าน หรือข้อมูลส่วนตัว
แอปต้องสงสัยที่พบว่าติดมัลแวร์
มีแอป 2 ตัวที่ Kaspersky ตรวจพบว่าใช้แพร่ SparkKitty:
- 币coin: แอปติดตามข้อมูลคริปโต บน App Store
- SOEX: แอปส่งข้อความที่มีฟีเจอร์คริปโต บน Google Play
SOEX ถูกติดตั้งไปแล้วกว่า 10,000 ครั้งก่อนจะถูก Google ลบออก และแบนบัญชีนักพัฒนาไปแล้ว
นอกจากนี้ยังมีมัลแวร์ที่แพร่ผ่าน:
- แอปเกมคาสิโน
- เกมผู้ใหญ่ (Adult games)
- แอปปลอมเลียน TikTok
จุดเชื่อมโยงกับ SparkCat
SparkKitty มีความคล้ายกับมัลแวร์ SparkCat ซึ่ง Kaspersky เคยตรวจพบในเดือนมกราคม โดยทั้งสองมีโค้ดที่คล้ายกันและใช้วิธีดึงข้อมูลภาพเพื่อค้นหา Seed Phrase เหมือนกัน
นักวิเคราะห์ระบุว่า แม้ SparkKitty จะไม่ซับซ้อนในแง่เทคนิค แต่มีการแพร่กระจายอย่างต่อเนื่องตั้งแต่ต้นปี 2024 ซึ่งถือเป็นภัยคุกคามที่สำคัญต่อผู้ใช้งานคริปโต
พื้นที่เป้าหมายหลัก: เอเชียตะวันออกเฉียงใต้และจีน
จากแหล่งแพร่กระจายของแอปติดมัลแวร์ พอสรุปได้ว่า:
- กลุ่มเป้าหมายหลักคือผู้ใช้ใน เอเชียตะวันออกเฉียงใต้และจีน
- แม้ปัจจุบันจะยังไม่พบการโจมตีในภูมิภาคอื่น แต่มัลแวร์นี้ “ไม่มีข้อจำกัดทางเทคนิค” ที่จะขยายไปยังผู้ใช้ทั่วโลก
คำแนะนำจากบ่าวสำหรับผู้ใช้งานคริปโต:
- อย่าเก็บ Seed Phrase หรือรหัสกระเป๋า ไว้ในแกลเลอรีรูปภาพ
- หลีกเลี่ยงการโหลดแอปคริปโตที่ไม่เป็นทางการ
- ใช้ กระเป๋าฮาร์ดแวร์ (Hardware Wallet) และเปิดใช้งานระบบยืนยันตัวตนหลายชั้น (2FA)
อ้างอิง : cointelegraph.com
ภาพ securelist.com