ศูนย์การวิจัยภัยคุกคามของ Kaspersky บริษัทรักษาความปลอดภัยทางไซเบอร์สัญชาติอังกฤษเผยรายงานที่บริษัทได้ค้นพบมัลแวร์ตัวใหม่ที่มีชื่อว่า ‘SparkCat’ ซึ่งแฝงตัวอยู่ในบางแอปพลิเคชันบน App Store และ Google Play (แหล่งรวมแอปสำหรับระบบปฏิบัติการ Android)
บริษัท Kaspersky เผยว่า SparkCat อาจมีการแฝงตัวและถูกใช้งานมาแล้วเกือบ 1 ปีเต็ม นับตั้งแต่เดือนมีนาคม 2024 โดยกรณีของ SparkCat ถือเป็นครั้งแรกที่มีการตรวจพบมัลแวร์ที่ใช้วิธีการจดจำภาพ (Optical Recognition-Based Malware) เพื่อสแกนภาพถ่ายในคลังรูปด้วยจุดประสงค์ที่ต้องการจะขโมยภาพหน้าจอ โดยเฉพาะภาพที่มี ‘ชุดคำหรือข้อความ’ (Recovery Phrases) สำหรับใช้กู้กระเป๋าเงินคริปโตเคอร์เรนซี รวมไปถึงข้อมูลอื่นๆ เช่น รหัสผ่านสำหรับเข้าเว็บไซต์ต่างๆ
จากรายงานที่ออกมา ณ ขณะนี้ Kaspersky ได้รายงานเหตุการณ์ความเสี่ยงดังกล่าวกับ Google และ Apple ให้ทราบแล้ว
การแพร่กระจายของมัลแวร์ตัวใหม่นี้เป็นอย่างไร
มัลแวร์จะกระจายตัวได้หลักๆ 2 ช่องทาง โดยช่องทางแรกคือผ่านแอปพลิเคชันที่ติดไวรัส แม้ว่าจะเป็นแอปที่มาจากแหล่งที่น่าเชื่อถือก็ตาม และอีกช่องทางคือการหลอกล่อให้คนติดตั้งมัลแวร์โดยไม่รู้ตัว
ตัวอย่างของหมวดแอปพลิเคชันที่เข้าข่ายความเสี่ยงจากรายงานของ Kaspersky เช่น แอปส่งข้อความ, แอป AI, แอปสั่งอาหาร, แอปที่เกี่ยวกับคริปโตเคอร์เรนซี และอื่นๆ โดยบางแอปสามารถหาได้ไม่ยากบนแพลตฟอร์มอย่าง Google Play และ App Store
นอกจากนี้ Kaspersky เผยว่าแอปพลิเคชันที่ติดมัลแวร์ก็ถูกเผยแพร่ต่อผ่านแหล่งต่างๆ โดยใน Google Play แอปที่ติดมัลแวร์เหล่านี้ถูกดาวน์โหลดไปแล้วกว่า 242,000 ครั้ง ตามรายงานของบริษัท
SparkCat เล็งเป้าหมายไปที่กลุ่มไหน
Kaspersky ระบุว่ามัลแวร์พุ่งเป้าไปที่ผู้ใช้งานในสหรัฐอาหรับเอมิเรตส์ (UAE) รวมถึงประเทศในยุโรปและเอเชีย โดย SparkCat จะสแกนคลังภาพและสามารถเข้าใจได้หลายภาษา เช่น ภาษาจีน, ญี่ปุ่น, เกาหลี, อังกฤษ, เช็ก, ฝรั่งเศส, อิตาลี, โปแลนด์ และโปรตุเกส
อย่างไรก็ตาม ผู้เชี่ยวชาญเชื่อว่าอาจมีเหยื่ออยู่ในประเทศอื่นๆ นอกเหนือจากลิสต์ข้างต้นด้วยเช่นกัน
SparkCat ทำงานอย่างไร
ในบางกรณีหลังจากการติดตั้ง SparkCat จะขอสิทธิ์ในการเข้าถึงภาพในคลังภาพบนสมาร์ทโฟนของผู้ใช้งาน จากนั้นจะทำการวิเคราะห์ข้อความในภาพที่ผู้ใช้งานจัดเก็บไว้ ซึ่งหากมัลแวร์พบคีย์เวิร์ดที่เกี่ยวข้อง มันจะดำเนินการส่งภาพนั้นไปยังผู้ไม่ประสงค์ดี
โดยจุดประสงค์หลักของแฮกเกอร์กลุ่มนี้ตามที่ Kaspersky เผยไว้ในรายงานคือการขโมย Recovery Phrases หรือชุดคำศัพท์สำหรับกู้กระเป๋าเงินคริปโตเคอร์เรนซี เพื่อให้แฮกเกอร์สามารถควบคุมกระเป๋าเงินของเหยื่อได้อย่างสมบูรณ์และขโมยเงินออกไป และอีกเหตุผลคือการดึงข้อมูลส่วนตัวอื่นๆ จากภาพ เช่น รหัสผ่าน
อย่างไรก็ตาม Sergey Puzan นักวิเคราะห์มัลแวร์จาก Kaspersky กล่าวว่า ณ ปัจจุบันยังสรุปไม่ได้ว่าแอปพลิเคชันในแพลตฟอร์มแอปพลิเคชันที่อยู่ในทั้ง App Store และ Google Play ถูกโจมตีด้วยวิธีใดกันแน่
นอกจากนี้ Dmitry Kalinin นักวิเคราะห์มัลแวร์จาก Kaspersky กล่าวเพิ่มเติมถึงความอันตรายของ SparkCat ว่าลักษณะเฉพาะทางของมัลแวร์ทำให้มันอันตราย โดยประเด็นแรกคือ SparkCat กระจายอยู่ในแหล่งที่น่าเชื่อถือที่ผู้ใช้งานต้องใช้โหลดแอปพลิเคชันต่างๆ และแทบไม่มีสัญญาณเตือนชัดเจนของการติดมัลแวร์ ทำให้ยากที่จะตรวจพบทั้งสำหรับผู้ควบคุมดูแลและผู้ใช้งาน
อีกทั้งการขอสิทธิ์เข้าถึงคลังภาพก็ดูเหมือนจะสมเหตุสมผล เพราะในมุมผู้ใช้มันอาจดูเหมือนเป็นสิ่งจำเป็นในการใช้แอปนั้นๆ ทำให้ผู้ใช้มองข้ามได้ง่ายๆ
และกรณีของ SparkCat ก็เป็นอีกหนึ่งตัวอย่างของภัยไซเบอร์ที่มีแนวโน้มจะรุนแรงขึ้นเมื่อโลกเคลื่อนตัวสู่ยุคดิจิทัล
อ้างอิง: