พบสปายแวร์ใหม่ที่กำหนดเป้าหมายเป็นผู้คนบน App Store และ Google Play

มัลแวร์ใหม่นี้ได้รับการออกแบบมาเพื่อโจมตีสมาร์ทโฟนที่ใช้ระบบปฏิบัติการ iOS และ Android จากนั้นส่งรูปภาพและข้อมูลอุปกรณ์จากโทรศัพท์ที่ติดไวรัสไปยังเซิร์ฟเวอร์ของผู้โจมตี

VietnamPlus•26/06/2025

เมื่อวันที่ 26 มิถุนายน ผู้เชี่ยวชาญจาก Kaspersky ประกาศว่าพวกเขาได้ค้นพบสปายแวร์ใหม่ที่เรียกว่า SparkKitty ซึ่งออกแบบมาเพื่อโจมตีสมาร์ทโฟนที่ใช้ระบบปฏิบัติการ iOS และ Android จากนั้นส่งรูปภาพและข้อมูลอุปกรณ์จากโทรศัพท์ที่ติดไวรัสไปยังเซิร์ฟเวอร์ของผู้โจมตี

SparkKitty ถูกฝังไว้ในแอปที่มีเนื้อหาเกี่ยวกับสกุลเงินดิจิทัลและการพนัน รวมถึงในแอป TikTok เวอร์ชันปลอม แอปเหล่านี้ไม่ได้ถูกเผยแพร่เฉพาะใน App Store และ Google Play เท่านั้น แต่ยังเผยแพร่บนเว็บไซต์หลอกลวงอีกด้วย

จากการวิเคราะห์ของผู้เชี่ยวชาญ พบว่าเป้าหมายของแคมเปญนี้อาจเป็นการขโมยสกุลเงินดิจิทัลจากผู้ใช้ในเอเชียตะวันออกเฉียงใต้และจีน ผู้ใช้ในเวียดนามก็มีความเสี่ยงที่จะเผชิญกับภัยคุกคามที่คล้ายกันเช่นกัน

Kaspersky ได้แจ้งให้ Google และ Apple ดำเนินการกับแอปอันตรายเหล่านี้ รายละเอียดทางเทคนิคบางส่วนบ่งชี้ว่าแคมเปญใหม่นี้มีความเชื่อมโยงกับ SparkCat ซึ่งเป็นโทรจันที่ค้นพบก่อนหน้านี้ SparkCat เป็นมัลแวร์ตัวแรกบนแพลตฟอร์ม iOS ที่มีโมดูลการจดจำอักขระด้วยแสง (OCR) ในตัว ซึ่งสแกนคลังภาพของผู้ใช้และขโมยภาพหน้าจอที่มีรหัสผ่านหรือวลีการกู้คืนสำหรับกระเป๋าเงินสกุลเงินดิจิทัล

หลังจาก SparkCat นี่เป็นครั้งที่สองในปีนี้ที่นักวิจัยของ Kaspersky ค้นพบโปรแกรมขโมยโทรจันบน App Store

ใน App Store มัลแวร์โทรจันนี้ปลอมตัวเป็นแอปพลิเคชันที่เกี่ยวข้องกับสกุลเงินดิจิทัลที่เรียกว่า 币coin นอกจากนี้ บนเว็บไซต์หลอกลวงที่ออกแบบมาเพื่อเลียนแบบอินเทอร์เฟซ App Store ของ iPhone อาชญากรไซเบอร์ยังแพร่กระจายมัลแวร์นี้ภายใต้หน้ากากของแอปพลิเคชัน TikTok และเกมการพนันบางเกมอีกด้วย

anh-kaspersky-2-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — 币coin แอปแลกเปลี่ยนสกุลเงินดิจิทัลปลอมปรากฎตัวบน App Store แล้ว (ภาพหน้าจอ)

anh-kaspersky-3-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — เว็บไซต์ App Store ปลอมที่พยายามหลอกล่อผู้ใช้ให้ติดตั้งแอป TikTok ผ่านทางเครื่องมือสำหรับนักพัฒนา (ภาพหน้าจอ)

anh-kaspersky-4-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — ร้านค้าออนไลน์ปลอมที่ฝังอยู่ในแอป TikTok ปลอม (ภาพหน้าจอ)

“เว็บไซต์ปลอมเป็นหนึ่งในช่องทางที่ได้รับความนิยมมากที่สุดในการเผยแพร่โทรจัน โดยแฮกเกอร์พยายามหลอกล่อผู้ใช้ให้เข้าไปเยี่ยมชมและติดตั้งมัลแวร์บน iPhone บน iOS ยังมีวิธีที่ถูกต้องบางประการที่ผู้ใช้จะติดตั้งแอปจากนอก App Store ได้ ในการโจมตีครั้งนี้ แฮกเกอร์ใช้ประโยชน์จากเครื่องมือสำหรับนักพัฒนาที่ออกแบบมาเพื่อติดตั้งแอปภายในธุรกิจต่างๆ ใน TikTok เวอร์ชันที่ติดไวรัส ทันทีที่ผู้ใช้เข้าสู่ระบบ มัลแวร์จะขโมยรูปภาพจากแกลเลอรีของโทรศัพท์และแอบแทรกลิงก์แปลก ๆ ลงในโปรไฟล์ของเหยื่อ สิ่งที่น่ากังวลคือลิงก์นี้จะนำไปสู่ร้านค้าที่ยอมรับการชำระเงินด้วยสกุลเงินดิจิทัลเท่านั้น ซึ่งทำให้เราเป็นกังวลมากขึ้นเกี่ยวกับการโจมตีครั้งนี้” Sergey Puzan นักวิเคราะห์มัลแวร์จาก Kaspersky กล่าว

ในระบบปฏิบัติการ Android ผู้โจมตีจะกำหนดเป้าหมายไปที่ผู้ใช้ทั้งบน Google Play และเว็บไซต์ของบุคคลที่สาม โดยปลอมตัวมัลแวร์เป็นบริการที่เกี่ยวข้องกับสกุลเงินดิจิทัล ตัวอย่างหนึ่งของแอปที่ติดไวรัสคือ SOEX ซึ่งเป็นแอปส่งข้อความที่มีฟังก์ชันการซื้อขายสกุลเงินดิจิทัลในตัว โดยมียอดดาวน์โหลดจากร้านค้าอย่างเป็นทางการมากกว่า 10,000 ครั้ง

anh-kaspersky-5-kaspersky-has-discovered-sparkkitty-a-new-trojan-spy-on-app-store-and-google-playjpg.png — แอปแลกเปลี่ยนสกุลเงินดิจิทัล SOEX ปลอมบน Google Play (ภาพหน้าจอ)

นอกจากนี้ผู้เชี่ยวชาญยังค้นพบไฟล์ APK (ไฟล์ติดตั้งแอปพลิเคชัน Android ที่สามารถติดตั้งได้โดยตรงโดยไม่ต้องผ่าน Google Play) ของแอปพลิเคชันที่ติดมัลแวร์เหล่านี้บนเว็บไซต์ของบุคคลที่สาม โดยเชื่อว่ามีความเกี่ยวข้องกับแคมเปญโจมตีดังกล่าว

แอปเหล่านี้ได้รับการโปรโมตภายใต้หน้ากากของโครงการลงทุนสกุลเงินดิจิทัล โดยเฉพาะอย่างยิ่ง เว็บไซต์ที่จำหน่ายแอปเหล่านี้ยังได้รับการโปรโมตอย่างกว้างขวางบนเครือข่ายโซเชียล รวมถึง YouTube

Dmitry Kalinin นักวิเคราะห์มัลแวร์จาก Kaspersky กล่าวว่า “เมื่อติดตั้งแล้ว แอปจะทำงานตามที่อธิบายไว้ อย่างไรก็ตาม ระหว่างการติดตั้ง แอปจะแทรกซึมเข้าไปในอุปกรณ์อย่างเงียบๆ และส่งรูปภาพจากแกลเลอรีของเหยื่อไปยังผู้โจมตีโดยอัตโนมัติ รูปภาพเหล่านี้อาจมีข้อมูลละเอียดอ่อนที่ผู้โจมตีกำลังมองหา เช่น สคริปต์การกู้คืนกระเป๋าสตางค์คริปโต ซึ่งทำให้สามารถขโมยสินทรัพย์ดิจิทัลของเหยื่อได้ มีสัญญาณทางอ้อมที่บ่งบอกว่าผู้โจมตีกำลังตามล่าสินทรัพย์ดิจิทัลของผู้ใช้ แอปที่ติดไวรัสหลายตัวมีความเกี่ยวข้องกับสกุลเงินดิจิทัล และเวอร์ชัน TikTok ที่ติดไวรัสยังมีร้านค้าที่ยอมรับการชำระเงินด้วยสกุลเงินดิจิทัลเท่านั้น”

เพื่อหลีกเลี่ยงการตกเป็นเหยื่อของมัลแวร์นี้ Kaspersky แนะนำให้ผู้ใช้ใช้มาตรการความปลอดภัยดังต่อไปนี้:

- หากคุณติดตั้งแอปพลิเคชันที่ติดไวรัสโดยไม่ได้ตั้งใจ ให้รีบลบแอปพลิเคชันดังกล่าวออกจากอุปกรณ์ของคุณ และอย่าใช้อีกจนกว่าจะมีการอัปเดตอย่างเป็นทางการ เพื่อลบคุณสมบัติที่เป็นอันตรายออกให้หมดสิ้น

- หลีกเลี่ยงการจัดเก็บภาพหน้าจอที่มีข้อมูลละเอียดอ่อนไว้ในคลังภาพของคุณ โดยเฉพาะภาพที่มีรหัสกู้คืนกระเป๋าสตางค์สกุลเงินดิจิทัล ผู้ใช้สามารถจัดเก็บข้อมูลการเข้าสู่ระบบในแอปพลิเคชันจัดการรหัสผ่านเฉพาะแทน

- ติดตั้งซอฟต์แวร์รักษาความปลอดภัยที่เชื่อถือได้เพื่อป้องกันความเสี่ยงจากการติดมัลแวร์ สำหรับระบบปฏิบัติการ iOS ที่มีสถาปัตยกรรมรักษาความปลอดภัยเฉพาะ โซลูชันของ Kaspersky จะแจ้งเตือนหากตรวจพบว่าอุปกรณ์กำลังส่งข้อมูลไปยังเซิร์ฟเวอร์ควบคุมของแฮกเกอร์ และบล็อกกระบวนการส่งข้อมูลนี้

- เมื่อแอปพลิเคชันร้องขอการเข้าถึงคลังภาพ ผู้ใช้ควรพิจารณาอย่างรอบคอบว่าสิทธิ์นี้จำเป็นสำหรับฟังก์ชันหลักของแอปพลิเคชันหรือไม่

(เวียดนาม+)

ที่มา: https://www.vietnamplus.vn/phat-hien-phan-mem-gian-diep-moi-nham-vao-nguoi-tren-app-store-va-google-play-post1046585.vnp