ThaiCERT รายงานอ้างสื่อด้าน IT เตือนพบสปายแวร์ SparkKitty แฝงใน App Store และ Play Store ขโมยรูปภาพหวังเจาะข้อมูลคริปโต

เมื่อช่วงปลายเดือน มิ.ย. 2568 ThaiCERT รายงานอ้างสื่อด้าน IT ต่างประเทศ ระบุว่า บริษัท Kaspersky เปิดเผยการตรวจพบสปายแวร์สายพันธุ์ใหม่ชื่อว่า SparkKitty ที่ซ่อนอยู่ในแอปพลิเคชันทั้งบน Apple App Store และ Google Play Store โดยเป้าหมายหลักของสปายแวร์ชนิดนี้ คือการขโมยรูปภาพทั้งหมดจากโทรศัพท์ของเหยื่อ โดยเฉพาะรูปภาพที่อาจมีข้อมูลเกี่ยวกับ สกุลเงินดิจิทัล เช่น คำศัพท์สำหรับกู้คืนกระเป๋าคริปโต (wallet recovery phrases) ผ่านเทคโนโลยี OCR (Optical Character Recognition) ซึ่งสามารถแปลงข้อความจากภาพให้กลายเป็นข้อมูลที่อ่านได้ สปายแวร์นี้ถูกพบว่ามีการใช้งานจริงตั้งแต่ต้นปี 2024 และมุ่งเป้าผู้ใช้งานใน เอเชียตะวันออกเฉียงใต้ และ จีน เป็นหลัก

กลุ่มแฮกเกอร์ผู้อยู่เบื้องหลัง SparkKitty ใช้วิธีแฝงตัวในแอปยอดนิยม เช่น แอป TikTok เวอร์ชันปลอมที่มีฟีเจอร์ร้านค้าออนไลน์ชื่อ "TikToki Mall" รองรับการซื้อสินค้าโดยใช้คริปโตเคอร์เรนซี และจำเป็นต้องมีรหัสเชิญเพื่อเข้าใช้งาน สำหรับอุปกรณ์ iOS พบว่ามีการใช้ใบรับรอง Enterprise Provisioning Profile จากโปรแกรมนักพัฒนา Apple เพื่อหลีกเลี่ยงกระบวนการตรวจสอบของ App Store ส่วนใน Android พบแอปที่มีโค้ดอันตรายซ่อนอยู่ภายใน เช่น แอปด้านคริปโตและแอปพนัน ซึ่งหนึ่งในแอปที่ถูกลบไปแล้วเคยมียอดดาวน์โหลดเกินกว่า 10,000 ครั้ง ทั้งนี้ สปายแวร์ดังกล่าวมีการดัดแปลงไลบรารีโอเพ่นซอร์ซ เช่น AFNetworking และ Alamofire รวมถึงปลอมชื่อเป็น libswiftDarwin.dylib เพื่อหลบเลี่ยงการตรวจจับ

จากข้อมูลของ Kaspersky พบว่า SparkKitty มีความเชื่อมโยงโดยตรงกับแคมเปญสปายแวร์ก่อนหน้าอย่าง SparkCat ที่เคยถูกเปิดเผยในเดือนมกราคม 2025 ซึ่งใช้วิธีการกระจายตัวผ่านทั้งร้านแอปทางการและแหล่งที่ไม่น่าเชื่อถือ โดยมีเป้าหมายชัดเจนในการขโมยข้อมูลด้านการเงินดิจิทัล ทั้งสองแคมเปญใช้กลยุทธ์ที่คล้ายคลึงกัน เช่น การปลอมแอปเป็นเกมสำหรับผู้ใหญ่หรือแอปพนัน เพื่อหลอกล่อผู้ใช้งานให้ดาวน์โหลด ผู้เชี่ยวชาญเตือนว่าแม้จะดาวน์โหลดจากแหล่งที่น่าเชื่อถือ เช่น App Store หรือ Play Store ก็ไม่สามารถไว้วางใจได้ 100% ผู้ใช้ควรระมัดระวังในการให้สิทธิ์เข้าถึง โดยเฉพาะสิทธิ์ดูรูปภาพ และควรตรวจสอบแหล่งที่มาของแอปอย่างรอบคอบก่อนติดตั้งเสมอ