มัลแวร์ใหม่ SparkCat แฝงบนแอปใน App Store-Google Play ใช้ AI สแกนรูปในมือถือ ล่าข้อมูลและรหัสผ่าน

Kaspersky Threat Research ศูนย์วิจัยภัยคุกคามพบ โทรจัน (Trojan) มัลแวร์รูปแบบหนึ่งที่สามารถติดตั้งตัวเองได้ ในชื่อ “SparkCat” ที่จะติดตั้งตัวเองเข้าไปกับแอปพลิเคชันต่าง ๆ ทั้งแอปฯ ที่ถูกกฎหมาย ไปจนถึงแอปฯ ทั่วไป เช่น แอปฯ ข้อความ, ผู้ช่วย AI, แอปฯ ส่งอาหาร, แอปฯ ที่เกี่ยวข้องกับคริปโต และอื่น ๆ ซึ่งบางแอปฯ สามารถดาวน์โหลดได้จากแพลตฟอร์มทางการ อย่าง Google Play และ App Store

สำหรับ SparkCat เรียกได้ว่านี่เป็นครั้งแรกที่พบมัลแวร์ที่ใช้เทคนิคจดจำภาพแบบออปติคัล หรือ Optical Character Recognition (OCR) ที่จะทำงานตรวจจับข้อความในภาพที่อยู่ใน Gallery ภาพบนโทรศัพท์มือถือของผู้ใช้ ตลอดจนภาพที่เปิดจากหน้าจอ และจะทำการวิเคราะห์หาข้อความสำคัญจากภาพ

เทคโนโลยี OCR ถูกออกแบบมาในยุค AI เพื่อช่วยให้การแปลงข้อความเอกสารจากกระดาษทั้งลายมือและตัวพิมพ์ ให้อยู่ในรูปแบบของข้อความดิจิทัล ช่วยให้การจัดการเอกสารเป็นเรื่องง่าย ลดเวลาการทำงาน ในขณะเดียวกันเพิ่มประสิทธิภาพและทำกำไรให้ธุรกิจได้มากขึ้น

อ่านบทความที่เกี่ยวข้อง: เทคโนโลยี AI: OCR เครื่องมือเปลี่ยนงานเอกสาร เป็นข้อความดิจิทัล ช่วยองค์กรประหยัด 30%

แต่ในส่วนการทำงานของ SparkCat จะติดตั้งตัวเองมากับแอปฯ แล้วใช้ Machine Learning เพื่อสแกนแกลเลอรีรูปภาพและขโมยภาพหน้าจอ โดยเมื่อมัลแวร์ถูกติดตั้งแล้ว ในบางกรณีจะร้องขอสิทธิ์เข้าถึงและดูรูปภาพในแกลเลอรีของโทรศัพท์มือถือ จากนั้นจะใช้ระบบจดจำอักขระแบบออปติคัล (OCR) เพื่อวิเคราะห์ข้อความในภาพ หากตรวจพบคำสำคัญที่เกี่ยวข้องมัลแวร์จะทำการส่งภาพนั้นไปยังแฮกเกอร์ โดยเป้าหมายหลักของแฮกเกอร์ คือ การค้นหา Recovery Phrase ของกระเป๋าคริปโต เพื่อที่จะเข้าควบคุมกระเป๋าของเหยื่อได้อย่างสมบูรณ์และขโมยเงิน นอกจากนี้ มัลแวร์ยังสามารถขโมยข้อมูลส่วนตัวอื่น ๆ จากภาพหน้าจอ เช่น ข้อความสนทนาและรหัสผ่าน

โดยข้อมูลจาก Kaspersky ยังพบอีกว่า SparkCat ได้กระจายตัวออกไปเป็นวงกว้างในแหล่งดาวน์โหลดอื่นที่ไม่เป็นทางการอีกด้วย ในขณะที่บน Google Play แอปฯ เหล่านี้ถูกดาวน์โหลดไปแล้วมากกว่า 242,000 ครั้ง

มัลแวร์ตัวนี้มุ่งเป้าไปที่ผู้ใช้ในสหรัฐอาหรับเอมิเรตส์ (UAE), ยุโรป และเอเชียเป็นหลัก โดยที่ SparkCat จะสามารถสแกนแกลเลอรีรูปภาพเพื่อค้นหาคำสำคัญในหลายภาษา ทั้ง จีน, ญี่ปุ่น, เกาหลี, อังกฤษ, เช็ก, ฝรั่งเศส, อิตาลี, โปแลนด์ และโปรตุเกส อย่างไรก็ตาม ผู้เชี่ยวชาญเชื่อว่าเหยื่ออาจมาจากประเทศอื่น ๆ ที่ใช้ภาษาเหล่านี้ด้วย

สำหรับแอปพลิเคชันที่อยู่บน App Store และ Google Play ขณะนี้ยังไม่ชัดเจนว่าแอปฯ เหล่านี้ถูกเจาะระบบผ่าน Supply Chain Attack หรือผ่านวิธีการอื่น ๆ ซึ่งบางแอปฯ ที่ถูกเจาะอย่างเช่น แอปฯ ส่งอาหาร ที่ถูกต้องตามกฎหมาย และบางแอปฯ ก็ถูกสร้างขึ้นมาเพื่อใช้ล่อเหยื่อโดยเฉพาะ

จากการวิเคราะห์มัลแวร์ของ Kaspersky พบข้อสังเกตว่า อาจจะมีความเกี่ยวข้องกับจีน โดยในเวอร์ชัน Android ผู้เชี่ยวชาญของ Kaspersky พบว่า มีคอมเมนต์ในโค้ดที่เขียนเป็นภาษาจีน และเวอร์ชัน iOS ยังพบชื่อไดเรกทอรีของนักพัฒนา เช่น “qiongwu” และ “quiwengjing” ซึ่งอาจบ่งชี้ได้ว่าผู้อยู่เบื้องหลังแคมเปญนี้สามารถใช้ภาษาจีนได้อย่างคล่องแคล่ว แต่ก็ยังไม่มีหลักฐานเพียงพอที่จะระบุว่ามัลแวร์นี้เกี่ยวข้องกับกลุ่มอาชญากรไซเบอร์จากจีนหรือไม่

ทาง Kaspersky ก็ได้ให้คำแนะนำเพื่อเตรียมรับมือและป้องกันตัวเองจากมัลแวร์นี้ว่า หากพบว่าตัวเองได้ติดตั้งแอปฯ ที่มีมัลแวร์ไปแล้ว ให้ลบออกจากอุปกรณ์ทันที และอย่าใช้แอปฯ นั้นจนกว่าจะมีการอัปเดตที่แก้ไขปัญหานี้ ตลอดจนให้หลีกเลี่ยงการเก็บภาพหน้าจอที่มีข้อมูลสำคัญ เช่น Recovery Phrase ของกระเป๋าคริปโต หรือรหัสผ่าน ควรเก็บรหัสผ่านไว้ในแอปฯ ที่ปลอดภัยแทน

ที่มา: Kaspersky

ติดตามเพจ Facebook: Thairath Money ได้ที่ลิงก์นี้ - https://www.facebook.com/ThairathMoney