มัลแวร์มือถือ SparkKitty
ปฏิบัติการของอาชญากรไซเบอร์ที่แพร่หลายกำลังพุ่งเป้าไปที่ผู้ใช้ TikTok Shop ทั่วโลก โดยใช้กลยุทธ์ฟิชชิ่งและแอปพลิเคชันที่แฝงมัลแวร์อย่างเข้มข้น ศูนย์กลางของแผนการนี้คือ SparkKitty มัลแวร์ที่แฝงตัวและมีความสามารถซ่อนตัวอยู่ในแอป TikTok ปลอม แม้ว่าแคมเปญนี้จะดูเหมือนโปรโมตอีคอมเมิร์ซ แต่ในความเป็นจริงแล้วกลับเป็นแผนการที่ซับซ้อนเพื่อขโมยข้อมูลผู้ใช้และทรัพย์สินทางการเงิน
สารบัญ
ภายใน SparkKitty: ผู้บุกรุกที่เงียบงันแต่อันตราย
SparkKitty เป็นมัลแวร์ข้ามแพลตฟอร์มที่ออกแบบมาเพื่อขโมยข้อมูลสำคัญจากอุปกรณ์ทั้ง Android และ iOS เมื่อติดตั้งผ่านแอป TikTok Shop ปลอม มันจะเริ่มต้นกิจกรรมการบุกรุกต่างๆ อย่างเงียบๆ โดยจะสแกนลายนิ้วมือของอุปกรณ์ที่ติดไวรัส วิเคราะห์ภาพหน้าจอที่เก็บไว้โดยใช้ระบบรู้จำอักขระด้วยแสง (OCR) เพื่อตรวจจับวลีเริ่มต้นของกระเป๋าเงินคริปโตเคอร์เรนซี และส่งข้อมูลที่ถูกขโมยไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมจากระยะไกล คุณสมบัติเหล่านี้ทำให้ SparkKitty เป็นเครื่องมือขโมยข้อมูลขั้นสูงและมีประสิทธิภาพสูง
FraudOnTok: แคมเปญหลอกลวงขนาดใหญ่
นักวิจัยด้านความปลอดภัยไซเบอร์ได้ระบุชื่อปฏิบัติการ FraudOnTok ที่กำลังดำเนินอยู่ โดยอ้างอิงถึงวิธีการหลอกลวงที่ใช้ปลอมตัวเป็น TikTok Shop แคมเปญนี้มีขอบเขตครอบคลุมทั่วโลกและอาศัยโดเมนที่มีลักษณะคล้ายกันและปัญญาประดิษฐ์อย่างมากเพื่อหลอกลวงผู้ใช้
ผู้ก่อภัยคุกคามแพร่กระจายมัลแวร์ผ่านเว็บไซต์ปลอมหลายพันแห่งที่ออกแบบมาเพื่อเลียนแบบโดเมน TikTok อย่างเป็นทางการ เว็บไซต์ฟิชชิ่งเหล่านี้มักดูเหมือนถูกต้องตามกฎหมายและโฮสต์อยู่บนโดเมนระดับบนสุด เช่น .top, .shop และ .icu แคมเปญนี้ยังใช้หน้าร้านปลอมที่โฆษณาส่วนลดมหาศาลเพื่อโน้มน้าวให้ผู้ใช้ดาวน์โหลดแอปที่ถูกโทรจันนี้
ยิ่งไปกว่านั้น ผู้โจมตียังใช้วิดีโอที่สร้างโดย AI ซึ่งปลอมตัวเป็นอินฟลูเอนเซอร์ชื่อดังหรือบัญชีแบรนด์อย่างเป็นทางการ วิดีโอเหล่านี้เผยแพร่ผ่านโฆษณาแบบเสียเงินบนแพลตฟอร์มอย่าง Facebook และ TikTok ซึ่งทำให้การหลอกลวงดูน่าเชื่อถือและเพิ่มการเข้าถึง
คู่มือการโจมตี: จากการคลิกสู่การประนีประนอม
เมื่อเหยื่อคลิกโฆษณาปลอมหรือคลิกลิงก์ปลอม พวกเขามักจะถูกนำไปยังเว็บไซต์ฟิชชิ่งหรือถูกแนะนำให้ติดตั้งแอปพลิเคชันอันตราย แอปพลิเคชันเหล่านี้ไม่เพียงแต่ทำให้อุปกรณ์ติด SparkKitty เท่านั้น แต่ยังจำลองการเข้าสู่ระบบล้มเหลวอีกด้วย จากนั้นเหยื่อจะได้รับแจ้งให้เข้าสู่ระบบโดยใช้บัญชี Google ซึ่งทำให้ผู้โจมตีสามารถใช้ประโยชน์จากโทเค็น OAuth เพื่อเข้าถึงบัญชีได้โดยไม่ต้องป้อนข้อมูลประจำตัวโดยตรง
หากผู้ใช้พยายามเข้าถึงฟีเจอร์ TikTok Shop ภายในแอปปลอม ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังหน้าล็อกอินปลอม ซึ่งเป็นอีกกลยุทธ์หนึ่งที่ออกแบบมาเพื่อขโมยข้อมูลประจำตัว การผสมผสานระหว่างฟิชชิ่งและการโจมตีผ่านแอปทำให้ SparkKitty สามารถเจาะระบบอุปกรณ์ของผู้ใช้ได้อย่างเงียบเชียบ พร้อมกับรวบรวมข้อมูลส่วนบุคคลและข้อมูลทางการเงินที่มีค่า
แผนการสร้างรายได้เบื้องหลังการดำเนินงาน
แม้ว่าแคมเปญนี้จะใช้กลยุทธ์หลายอย่าง แต่เป้าหมายสูงสุดคือการแสวงหาผลกำไรทางการเงิน แคมเปญนี้มุ่งเป้าไปที่ผู้ใช้ TikTok และผู้เข้าร่วมโปรแกรมพันธมิตร โดยมีแผนการต่างๆ ดังต่อไปนี้:
- การขายผลิตภัณฑ์ปลอมหรือลดราคาอย่างมากและขอชำระเงินด้วยสกุลเงินดิจิทัล หลอกลวงทั้งผู้ซื้อและผู้ขายพันธมิตร
- การโน้มน้าวใจผู้ร่วมธุรกิจให้โหลด crypto ลงในกระเป๋าเงินปลอมบนแพลตฟอร์มโดยสัญญาว่าจะได้รับค่าคอมมิชชันหรือโบนัสการถอนเงินที่ไม่เคยมาถึง
- การขโมยข้อมูลประจำตัวในการเข้าสู่ระบบผ่านอินเทอร์เฟซร้านค้า TikTok ปลอมและใช้ประโยชน์จากโทเค็น Google OAuth เพื่อเข้าถึงโดยไม่ต้องมีการตรวจสอบโดยตรง
วิธีการเหล่านี้แสดงให้เห็นว่าผู้โจมตีกำลังเพิ่มผลกำไรสูงสุดได้อย่างไรโดยการจัดการทั้งสองด้านของระบบนิเวศร้านค้า TikTok ไม่ว่าจะเป็นผู้บริโภคหรือผู้ส่งเสริมการขายก็ตาม
สรุป: ระมัดระวัง ป้องกันไว้
การเพิ่มขึ้นของ SparkKitty ในแคมเปญ FraudOnTok สะท้อนให้เห็นถึงวิวัฒนาการของอาชญากรไซเบอร์ โดยผสมผสานการฟิชชิ่งแบบดั้งเดิมเข้ากับการส่งมัลแวร์ที่ซับซ้อน ผู้ใช้ควรระมัดระวังอย่างยิ่งเมื่อใช้งานคอนเทนต์ TikTok Shop โดยเฉพาะอย่างยิ่งเมื่อได้รับแจ้งให้ดาวน์โหลดแอปหรือกรอกข้อมูลประจำตัว การพึ่งพาเพียงแพลตฟอร์มอย่างเป็นทางการในการดาวน์โหลดและการตั้งคำถามเกี่ยวกับข้อเสนอที่ดูดีเกินจริงนั้นเป็นสิ่งสำคัญ ดังที่ SparkKitty แสดงให้เห็น แม้แต่ความผิดพลาดเพียงครั้งเดียวก็อาจนำไปสู่การโจรกรรมข้อมูลและการสูญเสียทางการเงินอย่างร้ายแรงได้
