ซอฟต์แวร์ชุดพัฒนาแอปพลิเคชันที่มีมัลแวร์ซึ่งใช้สร้างแอปบน Google Play Store และ Apple App Store กำลังสแกนรูปภาพของผู้ใช้เพื่อค้นหาวลีกู้คืนกระเป๋าคริปโต เพื่อขโมยเงินในนั้น ตามรายงานของบริษัทด้านความปลอดภัยไซเบอร์ Kaspersky Labs
เซอร์เกย์ พูซาน และดมิทรี คาลินิน นักวิเคราะห์ของคาสเปอร์สกี้ กล่าวในรายงานวันที่ 4 กุมภาพันธ์ว่า เมื่อมัลแวร์ที่เรียกว่า SparkCat ติดตั้งในอุปกรณ์แล้ว มันจะค้นหารูปภาพโดยใช้คำสำคัญเฉพาะในภาษาต่างๆ ผ่านโปรแกรมขโมยข้อมูลที่ใช้เทคโนโลยีจดจำตัวอักษรจากภาพ (OCR)
“ผู้บุกรุกขโมย recovery phrases สำหรับกระเป๋าคริปโต ซึ่งเพียงพอที่จะได้การควบคุมเต็มรูปแบบเหนือกระเป๋าเงินของเหยื่อเพื่อขโมยเงินต่อไป” พูซานและคาลินินเขียน
“ควรสังเกตว่าความยืดหยุ่นของมัลแวร์ทำให้มันสามารถขโมยไม่เพียง secret phrases แต่ยังรวมถึงข้อมูลส่วนตัวอื่นๆ จากคลังรูปภาพ เช่น เนื้อหาของข้อความหรือรหัสผ่านที่อาจเหลืออยู่ในภาพหน้าจอ”
นักวิเคราะห์ของ Kaspersky แนะนำไม่ให้เก็บข้อมูลที่ละเอียดอ่อนในภาพหน้าจอหรือคลังรูปภาพของโทรศัพท์ และให้ใช้ตัวจัดการรหัสผ่านแทน และยังแนะนำให้ลบแอปที่น่าสงสัยหรือติดมัลแวร์ด้วย
พูซานและคาลินินกล่าวว่า ในแอปแอนดรอยด์ มัลแวร์ใช้คอมโพเนนต์ Java ที่เรียกว่า Spark ซึ่งปลอมตัวเป็นโมดูลวิเคราะห์ข้อมูล และไฟล์การตั้งค่าที่เข้ารหัสเก็บไว้บน GitLab ซึ่งให้คำสั่งและอัปเดตการทำงาน
โมดูล trust-based networking ใช้ Google ML Kit OCR เพื่อดึงข้อความจากรูปภาพบนอุปกรณ์ที่ติดมัลแวร์ และจะค้นหา recovery phrases ที่สามารถใช้โหลดกระเป๋าคริปโตบนอุปกรณ์ของผู้โจมตีได้โดยไม่ต้องรู้รหัสผ่าน
Kaspersky ประเมินว่ามัลแวร์ถูกดาวน์โหลดไปแล้วประมาณ 242,000 ครั้งนับตั้งแต่เริ่มทำงานประมาณเดือนมีนาคม โดยมุ่งเป้าไปที่ผู้ใช้แอนดรอยด์และ iOS ในยุโรปและเอเชียเป็นหลัก
Kaspersky ระบุว่ามัลแวร์อยู่ในแอปหลายสิบตัว ทั้งของจริงและของปลอม บน Play Store และ App Store แต่มีคุณสมบัติเหมือนกันทั้งหมด เช่น การใช้ภาษา Rust ซึ่ง “พบได้ยากในแอปมือถือ” ความสามารถในการทำงานข้ามแพลตฟอร์ม และการอำพรางที่ทำให้การวิเคราะห์และตรวจจับยาก
พูซานและคาลินินกล่าวว่าไม่ชัดเจนว่าแอปที่ได้รับผลกระทบ “ติดมัลแวร์จากการโจมตีห่วงโซ่อุปทานหรือนักพัฒนาตั้งใจฝังโทรจันในแอปเอง”
“แอปบางตัว เช่น บริการส่งอาหาร ดูเหมือนถูกกฎหมาย ในขณะที่บางตัวถูกสร้างขึ้นอย่างชัดเจนเพื่อล่อเหยื่อ – ตัวอย่างเช่น เราเห็น ‘แอปส่งข้อความ’ ที่คล้ายกันหลายตัวพร้อมฟีเจอร์ AI จากนักพัฒนารายเดียวกัน” พวกเขากล่าวเสริม
พูซานและคาลินินกล่าวว่าที่มาของมัลแวร์ยังไม่ชัดเจน และไม่สามารถระบุได้ว่าเป็นกลุ่มที่รู้จักกลุ่มใด แต่มีความคล้ายคลึงกับแคมเปญที่นักวิจัย ESET พบในเดือนมีนาคม 2023
อย่างไรก็ตาม ทั้งคู่พบความเห็นและคำอธิบายข้อผิดพลาดที่เขียนเป็นภาษาจีนในโค้ด ทำให้พวกเขามี “เหตุผลที่จะเชื่อว่าผู้พัฒนาโมดูลที่เป็นอันตรายนี้พูดภาษาจีนได้คล่อง”
อ้างอิง : cointelegraph.com
ภาพ techradar.com
