เตือนภัย! มัลแวร์ SparkKitty ขโมยภาพหน้าจอ Seed Phrase ผ่านแอปปลอมบนมือถือ

บริษัทด้านความปลอดภัยไซเบอร์ Kaspersky ออกคำเตือนเกี่ยวกับมัลแวร์ตัวใหม่ชื่อ SparkKitty ซึ่งถูกออกแบบมาเพื่อขโมยรูปภาพจากอุปกรณ์ที่ติดเชื้อ โดยมีเป้าหมายหลักคือค้นหาภาพหน้าจอที่มี Seed Phrase ของกระเป๋าคริปโต

วิธีการโจมตีของ SparkKitty

นักวิเคราะห์ของ Kaspersky คุณ Sergey Puzan และ Dmitry Kalinin อธิบายว่า:

• มัลแวร์ตัวนี้โจมตีทั้งระบบ iOS และ Android
• มันถูกฝังอยู่ในแอปที่ดูเหมือนถูกกฎหมายซึ่งถูกอัปโหลดขึ้นทั้งบน Apple App Store และ Google Play
• เมื่ออุปกรณ์ติดเชื้อ มัลแวร์จะขโมย “ภาพทั้งหมดในแกลเลอรี” โดยไม่เลือก

แม้เป้าหมายหลักคือการค้นหา Seed Phrase แต่รูปภาพที่ถูกขโมยอาจมีข้อมูลสำคัญอื่น ๆ ด้วย เช่น บัตรประชาชน รหัสผ่าน หรือข้อมูลส่วนตัว

แอปต้องสงสัยที่พบว่าติดมัลแวร์

มีแอป 2 ตัวที่ Kaspersky ตรวจพบว่าใช้แพร่ SparkKitty:

• 币coin: แอปติดตามข้อมูลคริปโต บน App Store
• SOEX: แอปส่งข้อความที่มีฟีเจอร์คริปโต บน Google Play

SOEX ถูกติดตั้งไปแล้วกว่า 10,000 ครั้งก่อนจะถูก Google ลบออก และแบนบัญชีนักพัฒนาไปแล้ว

นอกจากนี้ยังมีมัลแวร์ที่แพร่ผ่าน:

• แอปเกมคาสิโน
• เกมผู้ใหญ่ (Adult games)
• แอปปลอมเลียน TikTok

จุดเชื่อมโยงกับ SparkCat

SparkKitty มีความคล้ายกับมัลแวร์ SparkCat ซึ่ง Kaspersky เคยตรวจพบในเดือนมกราคม โดยทั้งสองมีโค้ดที่คล้ายกันและใช้วิธีดึงข้อมูลภาพเพื่อค้นหา Seed Phrase เหมือนกัน

นักวิเคราะห์ระบุว่า แม้ SparkKitty จะไม่ซับซ้อนในแง่เทคนิค แต่มีการแพร่กระจายอย่างต่อเนื่องตั้งแต่ต้นปี 2024 ซึ่งถือเป็นภัยคุกคามที่สำคัญต่อผู้ใช้งานคริปโต

พื้นที่เป้าหมายหลัก: เอเชียตะวันออกเฉียงใต้และจีน

จากแหล่งแพร่กระจายของแอปติดมัลแวร์ พอสรุปได้ว่า:

• กลุ่มเป้าหมายหลักคือผู้ใช้ใน เอเชียตะวันออกเฉียงใต้และจีน
• แม้ปัจจุบันจะยังไม่พบการโจมตีในภูมิภาคอื่น แต่มัลแวร์นี้ “ไม่มีข้อจำกัดทางเทคนิค” ที่จะขยายไปยังผู้ใช้ทั่วโลก

คำแนะนำจากบ่าวสำหรับผู้ใช้งานคริปโต:

• อย่าเก็บ Seed Phrase หรือรหัสกระเป๋า ไว้ในแกลเลอรีรูปภาพ
• หลีกเลี่ยงการโหลดแอปคริปโตที่ไม่เป็นทางการ
• ใช้ กระเป๋าฮาร์ดแวร์ (Hardware Wallet) และเปิดใช้งานระบบยืนยันตัวตนหลายชั้น (2FA)

‍

อ้างอิง : cointelegraph.com
ภาพ securelist.com