ผู้ใช้สมาร์ทโฟนต้องผวา! Kaspersky แฉ โทรจัน “SparkCat” สุดร้ายกาจ ใช้ AI สแกนภาพ ขโมยวลีลับกู้กระเป๋าคริปโท แฝงตัวแนบเนียนในแอปดังบน App Store และ Google Play ดาวน์โหลดกันไปกว่า 242,000 ครั้ง
ศูนย์วิจัยภัยคุกคาม Kaspersky ได้เปิดโปงโทรจันตัวใหม่ล่าสุด “SparkCat” ที่แอบซ่อนอยู่ในแอปพลิเคชันบน App Store และ Google Play ตั้งแต่เดือนมีนาคม 2567 เป็นอย่างน้อย โดยเจ้าโทรจันตัวนี้ถือเป็นมัลแวร์ตัวแรกที่ใช้เทคโนโลยีการแปลงภาพเป็นข้อความ (OCR) บน App Store ในการโจรกรรมข้อมูล
SparkCat ใช้ความสามารถของแมชชีนเลิร์นนิ่งในการสแกนภาพถ่ายในแกลเลอรีของผู้ใช้ เพื่อค้นหาและขโมยภาพหน้าจอ (screenshots) ที่มีวลีการกู้คืนกระเป๋าเงินคริปโท (cryptocurrency wallet recovery phrases) ซึ่งเป็นข้อมูลสำคัญในการเข้าถึงและควบคุมเงินคริปโทของผู้ใช้ นอกจากนี้ มันยังสามารถค้นหาและดึงข้อมูลลับอื่นๆ ที่อยู่ในรูปภาพ เช่น รหัสผ่าน (passwords) ได้อีกด้วย
การแพร่กระจายของ SparkCat:
โทรจัน SparkCat แพร่กระจายผ่านแอปพลิเคชันที่ติดเชื้อหลากหลายรูปแบบ เช่น แอปพลิเคชันส่งข้อความ (messenger) ผู้ช่วย AI (AI assistant) บริการส่งอาหาร แอปที่เกี่ยวข้องกับสกุลเงินคริปโท และอื่นๆ ซึ่งน่าตกใจที่แอปพลิเคชันเหล่านี้บางส่วนสามารถดาวน์โหลดได้จากแพลตฟอร์มอย่างเป็นทางการอย่าง Google Play และ App Store
ข้อมูลจาก Kaspersky เผยว่าแอปพลิเคชันที่ติดมัลแวร์นี้ถูกดาวน์โหลดไปแล้วกว่า 242,000 ครั้งบน Google Play และยังมีการแพร่กระจายผ่านแหล่งที่ไม่เป็นทางการอื่นๆ อีกด้วย
กลุ่มเป้าหมาย:
SparkCat มุ่งเป้าโจมตีผู้ใช้ในสหรัฐอาหรับเอมิเรตส์ รวมถึงประเทศต่างๆ ในยุโรปและเอเชียเป็นหลัก โดยมีการวิเคราะห์จากข้อมูลพื้นที่การดำเนินงานของแอปพลิเคชันที่ติดมัลแวร์ และการวิเคราะห์ทางเทคนิค
โทรจันตัวนี้ทำการสแกนแกลเลอรีรูปภาพเพื่อค้นหาคำสำคัญในหลายภาษา ได้แก่ จีน ญี่ปุ่น เกาหลี อังกฤษ เช็ก ฝรั่งเศส อิตาลี โปแลนด์ และโปรตุเกส อย่างไรก็ตาม ผู้เชี่ยวชาญเชื่อว่าอาจมีเหยื่อจากประเทศอื่นๆ ทั่วโลก
วิธีการทำงานของ SparkCat:
เมื่อโทรจัน SparkCat ติดตั้งบนอุปกรณ์ของผู้ใช้แล้ว มันจะขอสิทธิ์ในการเข้าถึงรูปภาพในแกลเลอรี จากนั้นจะใช้โมดูลการจดจำอักขระด้วยแสง (OCR) เพื่อวิเคราะห์ข้อความในรูปภาพ หากตรวจพบคำสำคัญที่เกี่ยวข้องกับวลีการกู้คืนกระเป๋าเงินคริปโท มันจะส่งรูปภาพดังกล่าวไปยังผู้โจมตี
เป้าหมายหลักของแฮกเกอร์คือการค้นหาวลีการกู้คืน เพื่อเข้าควบคุมกระเป๋าเงินคริปโทของเหยื่อและขโมยเงิน นอกจากนี้ SparkCat ยังสามารถดึงข้อมูลส่วนตัวอื่นๆ จากภาพหน้าจอ เช่น ข้อความและรหัสผ่านได้อีกด้วย
คำเตือนจากผู้เชี่ยวชาญ:
เซอร์เกย์ พูซาน นักวิเคราะห์มัลแวร์ Kaspersky กล่าวว่า “นี่เป็นครั้งแรกที่เราพบโทรจันที่ใช้ OCR แอบเข้าไปใน App Store ซึ่งขณะนี้ยังไม่แน่ชัดว่าแอปพลิเคชันในร้านค้าทั้ง App Store และ Google Play ถูกบุกรุกผ่านการโจมตีซัพพลายเชนหรือวิธีการอื่นๆ หรือไม่ แอปบางตัว เช่น บริการจัดส่งอาหาร ก็ดูเหมือนแอปที่ถูกต้องตามกฎหมาย แต่บางแอปถูกออกแบบมาอย่างชัดเจนเพื่อหลอกล่อเหยื่อ”
ดิมิทรี คาลินิน นักวิเคราะห์มัลแวร์ Kaspersky กล่าวเสริมว่า “แคมเปญ SparkCat มีฟีเจอร์พิเศษที่เป็นอันตราย ประการแรกคือมันแพร่กระจายผ่านร้านค้าแอปอย่างเป็นทางการและทำงานโดยไม่มีสัญญาณการติดมัลแวร์ที่ชัดเจน ความสามารถในการซ่อนตัวของโทรจันนี้ทำให้ทั้งผู้ดูแลร้านค้าและผู้ใช้มือถือตรวจพบได้ยาก นอกจากนี้ การขออนุญาตต่างๆ ก็ดูสมเหตุสมผล ทำให้ถูกมองข้ามได้ง่าย”
การโจมตีด้วยแมชชีนเลิร์นนิ่ง:
อาชญากรไซเบอร์กำลังให้ความสนใจกับนิวรัลเน็ตเวิร์กในเครื่องมืออันตรายของตนมากขึ้น ในกรณีของ SparkCat โมดูล Android จะถอดรหัสและเรียกใช้ปลั๊กอิน OCR โดยใช้ไลบรารี Google ML Kit เพื่อจดจำข้อความในรูปภาพ ซึ่งเป็นวิธีการที่คล้ายคลึงกันนี้ถูกใช้ในโมดูลอันตรายของ iOS ด้วยเช่นกัน
การป้องกัน:
โซลูชันของ Kaspersky สามารถปกป้องผู้ใช้ Android และ iOS จากโทรจัน SparkCat โดยตรวจพบภายใต้ชื่อ HEUR:Trojan.IphoneOS.SparkCat.* และ HEUR:Trojan.AndroidOS.SparkCat.*
สามารถอ่านรายงานฉบับสมบูรณ์เกี่ยวกับแคมเปญ SparkCat ได้ที่เว็บไซต์ Securelist
