บันทึกรายละเอียดวอลเล็ตหรือ Seed Phrase เป็นรูปในโทรศัพท์? โทรจันตัวนี้อาจกำลังตามล่าคุณ

สปายแวร์มือถือรุ่นใหม่ที่ถูกตั้งชื่อว่า SparkKitty แอบแฝงตัวเข้ามาใน App Store ของ Apple และ Google Play โดยปลอมตัวเป็นแอปเกี่ยวกับคริปโตและแอป Mod เพื่อขโมยภาพของ Seed Phrase และข้อมูลประจำตัววอลเล็ตอย่างเงียบๆ

มัลแวร์นี้ดูเหมือนจะเป็นรุ่นต่อจาก SparkCat แคมเปญที่ถูกค้นพบครั้งแรกในต้นปี 2025 ซึ่งใช้โมดูลแชทสนับสนุนปลอมเพื่อเข้าถึงแกลเลอรีของผู้ใช้และขโมยภาพหน้าจอที่สำคัญ

นักวิจัยจาก Kaspersky ระบุในโพสต์วันจันทร์ว่า SparkKitty พัฒนากลยุทธ์นี้ไปอีกขั้น

ต่างจาก SparkCat ที่ส่วนใหญ่แพร่กระจายผ่านแพ็คเกจ Android ที่ไม่เป็นทางการ SparkKitty ถูกยืนยันว่ามีอยู่ในแอป iOS และ Android หลายแอปที่ดาวน์โหลดได้ผ่านสโตร์อย่างเป็นทางการ รวมถึงแอปส่งข้อความที่มีฟีเจอร์แลกเปลี่ยนคริปโต (ที่มีการติดตั้งมากกว่า 10,000 ครั้งบน Google Play) และแอป iOS ชื่อ "สกุลเงินcoin" ที่ปลอมตัวเป็นแอปติดตามพอร์ตโฟลิโอ

ส่วนหลักของเวอร์ชัน iOS คือเวอร์ชันที่ถูกดัดแปลงของเฟรมเวิร์ก AFNetworking หรือ Alamofire ซึ่งผู้โจมตีได้ฝังคลาสที่กำหนดเองซึ่งทำงานอัตโนมัติเมื่อเปิดแอปโดยใช้ตัวเลือก +load ของ Objective-C

เมื่อเริ่มต้น แอปจะตรวจสอบค่าการตั้งค่าที่ซ่อนอยู่ ดึงที่อยู่ command-and-control (C2) และสแกนแกลเลอรีของผู้ใช้แล้วเริ่มอัปโหลดภาพ ที่อยู่ C2 จะสั่งการมัลแวร์ว่าต้องทำอะไร เช่น เมื่อใดควรขโมยข้อมูลหรือส่งไฟล์ และรับข้อมูลที่ถูกขโมยกลับคืน

เวอร์ชัน Android ใช้ไลบรารี Java ที่ถูกดัดแปลงเพื่อให้บรรลุเป้าหมายเดียวกัน โดยใช้ Google ML Kit ในการประมวลผลภาพด้วย OCR หากตรวจพบ Seed Phrase หรือ Private Key ไฟล์นั้นจะถูกทำเครื่องหมายและส่งไปยังเซิร์ฟเวอร์ของผู้โจมตี

การติดตั้งบน iOS ทำผ่านโปรไฟล์การจัดเตรียมสำหรับองค์กร หรือวิธีการที่ออกแบบมาสำหรับแอปภายในองค์กรแต่มักถูกใช้เพื่อแพร่มัลแวร์

เหยื่อถูกหลอกให้เชื่อถือใบรับรองผู้พัฒนาที่เชื่อมโยงกับ "SINOPEC SABIC Tianjin Petrochemical Co. Ltd." ด้วยตนเอง ซึ่งให้สิทธิ์ระดับระบบแก่ SparkKitty

ที่อยู่ C2 หลายแห่งใช้ไฟล์การตั้งค่าที่เข้ารหัสด้วย AES-256 ซึ่งโฮสต์บนเซิร์ฟเวอร์ที่ถูกปิดบัง

เมื่อถอดรหัสแล้ว ไฟล์เหล่านี้จะชี้ไปยังตัวดึงข้อมูล Payload และ Endpoint เช่น /api/putImages และ /api/getImageStatus ซึ่งแอปจะตัดสินใจว่าจะอัปโหลดหรือเลื่อนการส่งภาพ

นักวิจัยของ Kaspersky ค้นพบเวอร์ชันอื่นของมัลแวร์ที่ใช้ไลบรารี OpenSSL ปลอม (libcrypto.dylib) พร้อมกับตรรกะการเริ่มต้นที่ถูกปิดบัง ซึ่งบ่งบอกถึงชุดเครื่องมือที่พัฒนาขึ้นและช่องทางการกระจายหลายทาง

แม้แอปส่วนใหญ่ดูเหมือนจะกำหนดเป้าหมายไปที่ผู้ใช้ในจีนและเอเชียตะวันออกเฉียงใต้ แต่ไม่มีอะไรในมัลแวร์นี้ที่จำกัดขอบเขตทางภูมิศาสตร์

Apple และ Google ได้ลบแอปที่เกี่ยวข้องออกแล้วหลังจากการเปิดเผยข้อมูล แต่นักวิจัยเตือนว่าแคมเปญนี้น่าจะดำเนินการมาตั้งแต่ต้นปี 2024 และอาจยังคงดำเนินการอยู่ผ่านเวอร์ชันที่ติดตั้งด้านข้างและร้านค้าลอกเลียนแบบ

แปลโดย B1tL0rd