มัลแวร์ SparkCat

แคมเปญคุกคามที่เพิ่งถูกเปิดเผยซึ่งมีชื่อว่า SparkCat ได้แทรกซึมเข้าไปยังทั้ง App Store และ Google Play ของ Apple โดยใช้แอปหลอกลวงที่ออกแบบมาเพื่อรวบรวมวลีการกู้คืนกระเป๋าสตางค์สกุลเงินดิจิทัล แอปเหล่านี้ซึ่งปลอมตัวเป็นบริการที่ถูกกฎหมายจะดึงวลีช่วยจำจากอุปกรณ์ของเหยื่ออย่างลับๆ ซึ่งทำให้สินทรัพย์ดิจิทัลตกอยู่ในความเสี่ยง

การใช้ประโยชน์จาก OCR เพื่อเก็บเกี่ยววลีการกู้คืนกระเป๋าสตางค์

SparkCat ใช้โมเดล OpticalCharacter Recognition (OCR) ขั้นสูงในการสแกนคลังภาพของผู้ใช้เพื่อค้นหารูปภาพที่มีวลีการกู้คืนกระเป๋าสตางค์ เมื่อตรวจพบแล้ว รูปภาพที่ละเอียดอ่อนเหล่านี้จะถูกแยกออกไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ระยะไกล แคมเปญนี้ตั้งชื่อตามชุดพัฒนาซอฟต์แวร์ฝังตัว (SDK) ที่มีส่วนประกอบ Java ที่เรียกว่า Spark ซึ่งปลอมตัวเป็นโมดูลวิเคราะห์ ยังไม่ชัดเจนว่าการแทรกซึมนี้เป็นผลมาจากการโจมตีห่วงโซ่อุปทานหรือถูกตั้งใจสร้างขึ้นโดยนักพัฒนา

การบุกเข้าไปใน App Store ของ Apple

แม้ว่าภัยคุกคามของ Android ที่มีความสามารถในการ OCR จะเคยปรากฏขึ้นมาก่อนแล้ว แต่ SparkCat ถือเป็นตัวอย่างแรกๆ ของการโจมตีดังกล่าวที่เข้าสู่ App Store ของ Apple บน Google Play แอปพลิเคชันที่ถูกบุกรุกถูกดาวน์โหลดมากกว่า 242,000 ครั้งก่อนที่จะถูกลบออกจากทั้งสองแพลตฟอร์มในวันที่ 7 กุมภาพันธ์ 2025

การดำเนินงานหลายแพลตฟอร์ม

หลักฐานชี้ให้เห็นว่า SparkCat เริ่มดำเนินการมาตั้งแต่เดือนมีนาคม 2024 แอปพลิเคชันที่ไม่ปลอดภัยนี้เผยแพร่ผ่านทั้งร้านค้าแอปอย่างเป็นทางการและของบุคคลที่สาม แอปพลิเคชันหลอกลวงเหล่านี้แอบอ้างเป็นเครื่องมือ AI บริการจัดส่งอาหาร และแพลตฟอร์ม Web3 โดยบางแอปพลิเคชันยังให้ฟังก์ชันการทำงานที่ดูเหมือนถูกต้องตามกฎหมายเพื่อหลีกเลี่ยงการถูกสงสัยอีกด้วย

SparkCat รวบรวมข้อมูลอย่างไร

ในอุปกรณ์ Android มัลแวร์จะถอดรหัสและเปิดใช้งานปลั๊กอิน OCR ที่ขับเคลื่อนโดยไลบรารี ML Kit ของ Google ปลั๊กอินจะสแกนแกลเลอรีรูปภาพเพื่อค้นหาข้อความที่ตรงกับคำสำคัญที่กำหนดไว้ล่วงหน้าจากเซิร์ฟเวอร์ C2 จากนั้นรูปภาพที่ถูกทำเครื่องหมายไว้จะถูกส่งไปยังผู้โจมตี

SparkCat เวอร์ชัน iOS ใช้กลไก OCR ที่ใช้ ML Kit เพื่อระบุและดึงข้อมูลที่ละเอียดอ่อนออกมา เวอร์ชันนี้ยังใช้กรอบการทำงานการสื่อสารที่ใช้ Rust เพื่อโต้ตอบกับเซิร์ฟเวอร์ C2 ซึ่งเป็นกลวิธีที่ไม่ค่อยพบเห็นในภัยคุกคามบนอุปกรณ์เคลื่อนที่

ใครอยู่เบื้องหลังการโจมตีนี้?

การวิเคราะห์คำสำคัญที่ใช้และรูปแบบการกระจายแสดงให้เห็นว่า SparkCat มุ่งเป้าไปที่ผู้ใช้ในยุโรปและเอเชียเป็นหลัก หลักฐานชี้ให้เห็นถึงผู้คุกคามที่พูดภาษาจีนได้คล่อง แม้ว่าตัวตนที่แท้จริงของพวกเขาจะยังไม่ชัดเจนก็ตาม

ทรอยจันแฝงตัวอยู่ในคราบปลอมตัว

สิ่งที่ทำให้ SparkCat หลอกลวงได้เป็นพิเศษคือความสามารถในการทำงานโดยไม่แสดงสัญญาณเตือนภัย การอนุญาตที่ขอดูเหมือนจะจำเป็นสำหรับฟีเจอร์ที่โฆษณาของแอปพลิเคชันหรือไม่ก็ไม่มีอันตราย ทำให้สามารถกลมกลืนไปกับแอปพลิเคชันได้โดยไม่ทำให้เกิดความสงสัย วิธีการที่แอบแฝงนี้ทำให้ผู้ใช้ยากต่อการรับรู้ถึงภัยคุกคามก่อนที่กระเป๋าเงินสกุลเงินดิจิทัลของตนจะถูกบุกรุก