โทรจันที่ซับซ้อนผ่านระบบความปลอดภัยของ Apple และ Google เพื่อเก็บคำสำคัญของคริปโตจากภาพในมือถือ เป็นการเพิ่มขั้นระดับการโจมตีคริปโตที่สำคัญ
นักวิจัยด้านความปลอดภัยไซเบอร์จาก Kaspersky ได้ค้นพบ แคมเปญมัลแวร์มือถือใหม่ชื่อ "SparkKitty" ที่ประสบความสำเร็จในการแทรกซึมเข้าไปใน App Store ของ Apple และ Google Play Store ส่งผลกระทบต่อผู้ใช้คริปโตมากกว่า 5,000 รายในจีนและเอเชียตะวันออกเฉียงใต้
มัลแวร์นี้มุ่งเป้าหมายไปที่การขโมยภาพหน้าจอของคำสำคัญกระเป๋าเงินที่ถูกจัดเก็บไว้ในแกลอรี่โทรศัพท์มือถือ ซึ่งเป็นการพัฒนาอย่างสำคัญในการโจมตีคริปโตที่ใช้ประโยชน์จากช่องโหว่ของความปลอดภัยพื้นฐานบนมือถือ
มัลแวร์นี้ได้ทำงานมาตั้งแต่ต้นปี 2024 ตามรายงานความปลอดภัยล่าสุดจาก Kaspersky ที่เผยแพร่ในสัปดาห์นี้ ไม่เหมือนกับวิธีการแจกจ่ายมัลแวร์แบบดั้งเดิม SparkKitty ประสบความสำเร็จอย่างมหาศาลโดยฝังตัวอยู่ในแอปที่ดูเหมือนถูกต้องตามกฎหมายในแพลตฟอร์มมือถือที่สำคัญ รวมถึงเครื่องมือติดตามราคาคริปโต แอปการพนัน และเวอร์ชันที่แก้ไขของแอปโซเชียลมีเดียยอดนิยมเช่น TikTok
ส่วนที่น่ากังวลที่สุดของแคมเปญนี้คือความสามารถในการหลีกเลี่ยงกระบวนการตรวจสอบของ App Store ของ Apple และระบบรักษาความปลอดภัย Play Protect ของ Google หนึ่งในแอปพลิเคชันข้อความที่ถูกบุกรุก SOEX มีการดาวน์โหลดมากกว่า 10,000 ครั้งก่อนที่จะถูกตรวจจับและลบออก แสดงถึงความสามารถของมัลแวร์ในการทำงานอย่างไม่ถูกตรวจตราภายในระบบแอปอย่างเป็นทางการเป็นระยะเวลานาน
ระเบียบวิธีการเก็บข้อมูลขั้นสูง
SparkKitty แสดงถึงการพัฒนาทางเทคนิคที่สำคัญจากมัลแวร์ก่อนหน้า SparkCat ที่ถูกระบุครั้งแรกในเดือนมกราคม 2025 ไม่เหมือนกับมัลแวร์ที่มุ่งเป้าหมายข้อมูลที่ลับเฉพาะ SparkKitty ขโมยภาพทั้งหมดจากอุปกรณ์ที่ติดเชื้ออย่างไม่เลือก แสดงข้อมูลที่ครอบคลุมของรูปถ่ายผู้ใช้ที่ถูกอัปโหลดไปยังเซิร์ฟเวอร์ระยะไกลเพื่อวิเคราะห์
มัลแวร์นี้ทำงานโดยกระบวนการหลายขั้นตอนที่ซับซ้อน หลังการติดตั้งผ่านโปรไฟล์ provisioning ที่แอบแฝง SparkKitty ทำการขอเข้าถึงสิทธิ์การเข้าถึงแกลอรี่ภาพ ซึ่งเป็นคำขอที่ดูเป็นปกติสำหรับผู้ใช้ทั่วไป เมื่อได้รับสิทธิ์เข้าถึง โทรจันจะเฝ้าระวังห้องสมุดรูปถ่ายของอุปกรณ์สำหรับการเปลี่ยนแปลงอย่างต่อเนื่อง โดยสร้างฐานข้อมูลท้องถิ่นของภาพที่ถูกจับ ก่อนที่จะส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี
นักวิจัยจาก Kaspersky เน้นว่าเป้าหมายหลักของผู้โจมตีคือการระบุและดึงข้อมูลคำสำคัญของกระเป๋าเงินคริปโตจากภาพหน้าจอที่เก็บไว้ในอุปกรณ์ที่ติดเชื้อ คำกู้คืน 12-24 คำเหล่านี้ให้การเข้าถึงอย่างสมบูรณ์ต่อสินทรัพย์ดิจิทัลของผู้ใช้ ทำให้เป็นเป้าหมายที่มีค่าสูงสำหรับอาชญากรไซเบอร์
การเกิดขึ้นของ SparkKitty เกิดขึ้นท่ามกลางปัญหาอาชญากรรมไซเบอร์ที่เน้นคริปโตที่กำลังเพิ่มขึ้น ตามการวิเคราะห์ของ TRM Labs ในปี 2024 เกือบ 70% ของ $2.2 พันล้านที่ถูกขโมยในการโจมตีโครงสร้างพื้นฐาน โดยเฉพาะอย่างยิ่งการขโมยคีย์ส่วนตัวและคำสำคัญ ในเดือนมกราคม 2025 เพียงเดือนเดียว ผู้เสียหาย 9,220 รายสูญเสีย $10.25 ล้านในการหลอกลวงฟิชชิ่งคริปโต ซึ่งเน้นถึงธรรมชาติที่ยั่งยืนและพัฒนาของภัยคุกคามที่เน้นคริปโต
ข้อความของมัลแวร์ที่มุ่งเน้นไปที่ประเทศจีนและเอเชียตะวันออกเฉียงใต้สะท้อนถึงแนวโน้มที่กว้างขึ้นในการรับเลี้ยงคริปโตและการกำหนดเป้าหมายโดยอาชญากรรมไซเบอร์ อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยเตือนว่าความสามารถทางเทคนิคและประสิทธิผลที่พิสูจน์ได้ของ SparkKitty อาจทำให้การขยายตัวทั่วโลกมีแนวโน้มสูง ความสามารถของมัลแวร์ในการแทรกซึมเข้าไปในแอปสโตร์อย่างเป็นทางการบอกว่าไม่มีระบบมือถือใดที่ปลอดภัยจากการโจมตีที่เน้นคริปโตที่มีความซับซ้อน
พัฒนาการด้านเทคนิคและการกำหนดผู้ทำผิด
การวิเคราะห์ทางนิติวิทยาศาสตร์เผยให้เห็นการเชื่อมโยงที่สำคัญระหว่าง SparkKitty และแคมเปญมัลแวร์ SparkCat ที่เคยมีมาก่อน โทรจันทั้งสองมีสัญลักษณ์สำหรับการดีบัก เช่นเดียวกับรูปแบบการสร้างโค้ดและแอปพลิเคชันเวกเตอร์ที่ถูกโจมตีร่วมกัน ซึ่งบอกถึงการพัฒนาที่ประสานกันโดยผู้กระทำภัยคุกคามเดียวกัน อย่างไรก็ตาม SparkKitty ได้แสดงการปรับแต่งทางเทคนิคที่โดดเด่น รวมถึงความสามารถในการเก็บข้อมูลที่ได้รับการปรับปรุงและเทคนิคหลีกเลี่ยงที่ดีขึ้น
SparkCat มุ่งเป้าหมายคำกู้คืนกระเป๋าเงินคริปโตโดยเฉพาะ โดยใช้เทคโนโลยีการจดจำอักษรด้วยแสงเพื่อดึงข้อมูลคำเหล่านี้จากภาพ ขณะที่ SparkKitty ใช้วิธีการที่กว้างขึ้นโดยเก็บข้อมูลภาพทั้งหมดที่สามารถประมวลผลในภายหลัง วิวัฒนาการนี้บอกถึงการที่ผู้โจมตีปรับการดำเนินงานเพื่อประสิทธิภาพในการเก็บข้อมูลสูงสุด ขณะที่ลดการประมวลผลบนอุปกรณ์ที่อาจทำให้เกิดการแจ้งเตือนความปลอดภัย
แคมเปญ SparkKitty เผยให้เห็นช่องโหว่พื้นฐานในแนวปฏิบัติการรักษาความปลอดภัยคริปโตบนมือถือ ผู้ใช้หลายคนมักจะถ่ายภาพหน้าจอของคำสำคัญเพื่อความสะดวก ซึ่งสร้างสำเนาดิจิตอลที่กลายเป็นเป้าหมายสำคัญสำหรับมัลแวร์เช่น SparkKitty แนวปฏิบัตินี้ แม้ว่าเข้าใจได้จากมุมมองประสบการณ์ผู้ใช้ สร้างช่องโหว่ความปลอดภัยที่สำคัญที่ผู้โจมตีที่มีความซับซ้อนกำลังใช้ประโยชน์อย่างเพิ่มขึ้น
นักวิจัยด้านความปลอดภัยเน้นว่าภัยคุกคามนี้ขยายออกไปเกินกว่าผู้ใช้รายบุคคลไปยังระบบนิเวศคริปโตที่กว้างขึ้น ทุกวันมีการตรวจพบมัลแวร์ใหม่ 560,000 ชิ้น โดยแพลตฟอร์มมือถือกลายเป็นเป้าหมายที่น่าสนใจมากขึ้นเมื่อการรับคริปโตขยายตัวไปทั่วโลก
ความสำเร็จของมัลแวร์ในการผ่านมาตรการรักษาความปลอดภัยของแอปสโตร์ยังตั้งคำถามเกี่ยวกับประสิทธิผลของโครงสร้างความปลอดภัยบนมือถือปัจจุบัน ทั้ง Apple และ Google ได้ติดตั้งกระบวนการตรวจสอบที่ซับซ้อนเพื่อป้องกันแอปพลิเคชันที่เป็นอันตรายไม่ให้เข้าถึงผู้ใช้ แต่การแทรกซึมที่ประสบความสำเร็จของ SparkKitty แสดงว่าแม้แต่อาชญากรที่ตั้งใจแน่วแน่ยังสามารถหลีกเลี่ยงการป้องกันเหล่านี้ได้
การตอบสนองของอุตสาหกรรมและมาตรการป้องกัน
หลังจากการเปิดตัวของ Kaspersky ทั้ง Apple และ Google ได้ดำเนินกระบวนการลบแอปพลิเคชันที่ติดเชื้อ SparkKitty อย่างไรก็ตาม ธรรมชาติที่เปลี่ยนแปลงของภัยคุกคามหมายความว่าอาจมีเวอร์ชันใหม่เกิดขึ้นอย่างต่อเนื่อง ซึ่งต้องการความเฝ้าระวังอย่างต่อเนื่องจากทั้งนักวิจัยด้านความปลอดภัยและผู้ดำเนินการแอปสโตร์
ผู้เชี่ยวชาญด้านความปลอดภัยคริปโตแนะนำมาตรการป้องกันทันทีสำหรับผู้ใช้กระเป๋าเงินบนมือถือ ข้อแนะนำหลักรวมถึงการหลีกเลี่ยงการเก็บคำสำคัญในรูปแบบดิจิทัลทั้งหมด โดยใช้กระเป๋าฮาร์ดแวร์สำหรับการถือครองที่มีจำนวนมาก และการตรวจสอบสิทธิ์การใช้งานแอปอย่างเคร่งครัด ผู้ใช้ควรตรวจสอบแกลอรี่ภาพที่มีอยู่เพื่อดูว่ามีการเก็บข้อมูลประจำตัวของกระเป๋าเงินหรือไม่ และลบภาพดังกล่าวออกทันที
เหตุการณ์นี้ยังกระตุ้นการสนทนาขึ้นใหม่เกี่ยวกับมาตรฐานความปลอดภัยคริปโตบนมือถือ ผู้นำในอุตสาหกรรมเรียกร้องให้มีข้อกำหนดด้านความปลอดภัยที่ได้รับการปรับปรุงสำหรับแอปพลิเคชันมือถือที่เกี่ยวข้องกับคริปโต รวมถึงการตรวจสอบความปลอดภัยภาคบังคับและโมเดลการอนุญาตที่เข้มงวดขึ้นสำหรับแอปพลิเคชันที่จัดการข้อมูลการเงินที่สำคัญ
ขณะที่ SparkKitty มุ่งเน้นไปที่ตลาดในเอเชีย ผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์เตือนว่าการขยายตัวทั่วโลกดูเหมือนจะหลีกเลี่ยงไม่ได้ ความสามารถที่พิสูจน์แล้วของมัลแวร์และธรรมชาติที่แพร่หลายของการใช้คริปโตบนมือถือชี้ว่าตลาดตะวันตกอาจเผชิญกับภัยคุกคามที่คล้ายกันในเร็ว ๆ นี้ ในปี 2025 อาชญากรรมไซเบอร์ รวมถึงการโจมตีนำโดยมัลแวร์ อาจทำให้เศรษฐกิจโลกเสียหายถึง $10.5 ล้านล้านต่อปี โดยมัลแวร์ที่มุ่งเป้าไปที่คริปโตเป็นส่วนประกอบที่เพิ่มขึ้นของภูมิคุกคามนี้
ความซับซ้อนของความสามารถในการแทรกซึมของ SparkKitty ในแอปสโตร์ชี้ว่ามีแคมเปญคล้าย ๆ กันอาจเกิดขึ้นในภูมิภาคอื่นแล้ว นักวิจัยด้านความปลอดภัยเรียกร้องให้มีการร่วมมือระหว่างประเทศที่เพิ่มขึ้นในการต่อสู้กับมัลแวร์คริปโตบนมือถือ รวมถึงการพัฒนาการแบ่งปันข้อมูลระหว่างผู้ดำเนินการแอปสโตร์และองค์กรด้านความปลอดภัยไซเบอร์
การประเมินภัยคุกคามในอนาคต
แคมเปญ SparkKitty แสดงถึงการเพิ่มขั้นระดับในภัยคุกคามคริปโตบนมือถือ ผสมผสานความสามารถทางเทคนิคที่ซับซ้อนกับกลไกการแจกจ่ายที่พิสูจน์แล้ว ขณะที่การใช้งานคริปโตยังคงขยายตัวทั่วโลก ภัยคุกคามที่คล้ายกันอาจเพิ่มขึ้นทั้งในด้านความถี่และความซับซ้อน
ผู้เชี่ยวชาญด้านความปลอดภัยคาดการณ์ว่าในอนาคตมัลแวร์ที่มุ่งเป้าหมายคริปโตอาจมีการรวมเทคนิคการหลีกเลี่ยงเพิ่มเติม รวมถึงวิธีการข้ามแอปสโตร์ที่ปรับปรุงและความสามารถในการนำข้อมูลออกที่ซับซ้อนกว่า ความสำเร็จของวิธีการเก็บภาพของ SparkKitty อาจเป็นแรงบันดาลใจให้ครอบครัวมัลแวร์เพิ่มเติมใช้วิธีการคล้ายกัน สร้างสภาพแวดล้อมภัยคุกคามที่เพิ่มขึ้นสำหรับผู้ใช้คริปโตบนมือถือ
เหตุการณ์นี้เน้นย้ำถึงความสำคัญที่มีต่อการปฏิบัติการรักษาความปลอดภัยมือถือที่เข้มงวดสำหรับผู้ถือคริปโต ขณะที่มูลค่าทรัพย์สินดิจิทัลยังคงเพิ่มขึ้นและการรับเลี้ยงขยายตัว อุปกรณ์มือถือกลายเป็นเป้าหมายที่น่าสนใจมากขึ้นสำหรับองค์กรอาชญากรรมไซเบอร์ขั้นสูง
ผู้ใช้ต้องปรับการปฏิบัติการรักษาความปลอดภัยของพวกเขาอย่างสอดคล้อง โดยให้น้ำหนักกับการใช้กระเป๋าฮาร์ดแวร์และการกำจัดการเก็บคำสำคัญดิจิทัล เพื่อปกป้องทรัพย์สินคริปโตของพวกเขาจากภัยคุกคามมัลแวร์มือถือที่เพิ่มขึ้นและพัฒนาอย่างต่อเนื่อง