มีการตรวจพบแอปพลิเคชันอันตราย 26 รายการบน Apple App Store โดยแอปเหล่านี้ปลอมแปลงเป็นแอป crypto wallet ชื่อดัง เช่น Metamask, Coinbase, Trust Wallet และ OneKey เพื่อหลอกล่อให้ผู้ใช้กรอก recovery phrase หรือ seed phrase จากนั้นผู้ไม่หวังดีจะเข้ายึดบัญชี และถอนสินทรัพย์คริปโตทั้งหมดออกไป
ผู้ไม่หวังดีรายนี้ใช้หลายวิธีเพื่อเลียนแบบผลิตภัณฑ์ต่าง ๆ ไม่ว่าจะเป็นการจดชื่อเลียนแบบ (typosquatting) และการสร้างแบรนด์ปลอม เพื่อหลอกล่อให้ผู้ใช้ในประเทศจีนดาวน์โหลดแอปเหล่านี้
เนื่องจากแอปประเภทดังกล่าวถูกจำกัดการใช้งานภายในประเทศ ผู้โจมตีจึงเผยแพร่แอปในรูปแบบเกม หรือแอปเครื่องคิดเลข โดยคาดหวังว่าผู้ใช้จะเข้าใจว่าเป็นช่องทางลัดสำหรับหลีกเลี่ยงข้อจำกัดที่มีอยู่ในประเทศ
แอปปลอม 26 รายการที่นักวิจัยของ Kaspersky ตรวจพบนั้น เป็นส่วนหนึ่งของปฏิบัติการที่เรียกว่า “FakeWallet” ซึ่งเป็นแคมเปญเดียวกับที่เชื่อมโยงกับปฏิบัติการ SparkKitty ที่มีการดำเนินการเมื่อปีที่ผ่านมา
เมื่อผู้ใช้เปิดแอปขึ้นมา แอปจะพาไปยังหน้า phishing ที่ถูกออกแบบให้ดูเหมือนพอร์ทัลทางการของบริการคริปโต เพื่อหลอกให้ผู้ใช้กรอกข้อมูลสำคัญ
เว็บไซต์เหล่านี้จะหลอกให้เหยื่อดาวน์โหลดแอป crypto wallet ที่ถูกฝังโทรจัน โดยอาศัย iOS provisioning profiles ซึ่งเป็นฟีเจอร์สำหรับองค์กรที่ถูกต้อง แต่ถูกนำมาใช้ในทางที่ผิดเพื่อ sideload มัลแวร์ลงสู่อุปกรณ์ของผู้ใช้ เทคนิคเดียวกันนี้ยังถูกพบในการโจมตีของ SparkKitty อีกด้วย
แอปที่ถูกฝังโทรจันเหล่านี้แอบแทรกโค้ดพิเศษเพื่อดักจับ mnemonic phrase ในระหว่างขั้นตอนตั้งค่า หรือกู้คืน crypto wallet จากนั้นจะเข้ารหัสข้อมูลด้วย RSA และ Base64 ก่อนส่งกลับไปยังผู้โจมตี
ผู้โจมตีใช้กลยุทธ์ฟิชชิ่งภายในแอปเพื่อหลอกให้ผู้ใช้ Cold Wallet อย่าง Ledger กรอก Seed Phrase ซึ่งเป็นชุดคำลับสำคัญผ่านหน้าจอยืนยันความปลอดภัยปลอม ข้อมูล Seed Phrase นี้เป็นความลับเฉพาะของเจ้าของกระเป๋า ถูกออกแบบมาเพื่อใช้ในการกู้คืน หรือย้ายกระเป๋าไปยังอุปกรณ์ใหม่โดยไม่ต้องใช้การยืนยัน หรือรหัสผ่านเพิ่มเติม
เมื่อได้ Seed Phrase ไปแล้ว ผู้ไม่หวังดีจะสามารถนำไปกู้คืนกระเป๋าเงินของเหยื่อบนอุปกรณ์ของตนเอง และโอนสินทรัพย์ทั้งหมดออกไปได้ทันที ทำให้เหยื่อไม่สามารถกู้คืนเงินกลับมาได้เลย
Kaspersky ระบุว่า แคมเปญดังกล่าวมุ่งเป้าไปที่ผู้ใช้ในประเทศจีนเป็นหลัก แต่ตัวมัลแวร์เองไม่มีการจำกัดขอบเขตทาง Location ซึ่งหมายความว่าผู้ใช้งานทั่วโลกอาจได้รับผลกระทบ หากผู้โจมตีเลือกที่จะขยายการโจมตี
ผู้ถือครองคริปโตเคอร์เรนซีควรตรวจสอบผู้เผยแพร่แอปอย่างละเอียดก่อนดาวน์โหลด แม้จะเป็นแอปจากสโตร์ทางการก็ตาม และควรใช้ลิงก์ที่ระบุไว้บนเว็บไซต์ทางการเท่านั้น
เมื่อสัปดาห์ที่ผ่านมา มีการเปิดเผยว่าแอป Ledger ปลอมที่หลุดเข้าไปอยู่บน Apple App Store สามารถขโมยคริปโตมูลค่าราว 9.5 ล้านดอลลาร์จากผู้ใช้ macOS จำนวน 50 ราย
หลังได้รับการแจ้งเตือนจาก Kaspersky ทาง Apple ได้เร่งดำเนินการลบแอปอันตรายออกไปแล้ว 25 จากทั้งหมด 26 รายการ ก่อนที่รายงานวิจัยจะถูกเผยแพร่สู่สาธารณะ ส่วนแอปที่เหลือถูกถอดออกในภายหลัง พร้อมกับการปิดบัญชีนักพัฒนาที่เกี่ยวข้อง
ที่มา : bleepingcomputer
You must be logged in to post a comment.