มัลแวร์ Android FvncBot, SeedSnatcher และ ClayRat: พวกมันโจมตีโทรศัพท์มือถือของคุณได้อย่างไร

โทรศัพท์ Android กลายเป็นศูนย์กลางของชีวิตดิจิทัลของเรา ไม่ว่าจะเป็นการทำธุรกรรมทางการเงิน สกุลเงินดิจิทัล การทำงาน สื่อสังคมออนไลน์… และน่าเสียดายที่มันก็รวมถึง… เป้าหมายยอดนิยมของอาชญากรไซเบอร์ในขณะที่ผู้ใช้หลายคนยังคงคิดว่าด้วย ติดตั้ง “โปรแกรมป้องกันไวรัส” ตอนนี้ทุกอย่างจบลงแล้ว ความเป็นจริงก็คือ มัลแวร์สำหรับ Android มีความซับซ้อนมากขึ้นอย่างมาก และสามารถแข่งขันได้อย่างสูสีกับภัยคุกคามแบบดั้งเดิมบนพีซี

ในช่วงหลายเดือนที่ผ่านมา ห้องปฏิบัติการด้านความปลอดภัยหลายแห่งได้มุ่งเน้นไปที่สามกลุ่มเฉพาะเจาะจง ได้แก่: FvncBot, SeedSnatcher และ ClayRat เวอร์ชันปรับปรุงนี่ไม่ใช่แค่โทรจันธรรมดาที่แสดงโฆษณาที่น่ารำคาญเท่านั้น: เรากำลังพูดถึงมัลแวร์ที่สามารถควบคุมโทรศัพท์มือถือของคุณจากระยะไกล ขโมยข้อมูลบัญชีธนาคาร ถอนเงินจากกระเป๋าเงินคริปโตเคอร์เรนซี บันทึกการกดแป้นพิมพ์ หรือแม้กระทั่งปลดล็อกอุปกรณ์โดยอัตโนมัติ ทั้งหมดนี้โดยการใช้ประโยชน์จากบริการการเข้าถึงและโอเวอร์เลย์หน้าจอที่ตรวจจับได้ยากด้วยตาเปล่า

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้สังเกตการณ์เรื่องนี้มาสักระยะหนึ่งแล้ว วิวัฒนาการที่รวดเร็วของมัลแวร์ Androidโดยมีแคมเปญที่ไม่เพียงแต่พยายามแพร่เชื้อไปยังผู้ใช้งานตามบ้านเท่านั้น แต่ยังรวมถึงพนักงานของบริษัท และบุคคลที่มีสิทธิ์เข้าถึงข้อมูลที่ละเอียดอ่อน หรือเงินทุนที่เกี่ยวข้องด้วย

เบื้องหลังภัยคุกคามเหล่านี้ เราพบว่ามีทั้งสองกลุ่มอยู่ด้วยกัน แรงจูงใจทางการเงินล้วนๆ ในฐานะผู้ก่อการร้ายขั้นสูง (APTs) ที่อาจมีความเชื่อมโยงกับรัฐ โดยเฉพาะอย่างยิ่งในกรณีของสปายแวร์อย่าง ClayRat ซึ่งมุ่งเน้นไปที่การสอดแนมระยะไกล การขโมยข้อมูล และการติดตามเหยื่อเฉพาะราย

วิธีการเจาะระบบอุปกรณ์ Android ส่วนใหญ่มีพื้นฐานมาจาก... การหลอกลวงทางสังคมและการเผยแพร่แอปพลิเคชันที่เป็นอันตราย นอก Google Playอย่างไรก็ตาม ร้านค้าของบุคคลที่สาม โดเมนฟิชชิ่งที่เลียนแบบบริการยอดนิยม และช่องทางการส่งข้อความ เช่น Telegram ซึ่งมีการแชร์ลิงก์ไปยังไฟล์ APK ที่ถูกดัดแปลง ก็ตกเป็นเป้าหมายของการโจรกรรมเช่นกัน

มัลแวร์โทรจันตัวใหม่เหล่านี้ใช้ประโยชน์จากฟังก์ชันการทำงานของระบบที่ถูกต้อง โดยเฉพาะอย่างยิ่ง... บริการการเข้าถึง, การซ้อนทับหน้าจอ และ API ของ MediaProjection (ใช้สำหรับบันทึกหรือแชร์หน้าจอ) ทำให้อุปกรณ์เหล่านั้นกลายเป็นเครื่องมือสอดแนมและ การฉ้อโกงทางการเงิน มีประสิทธิภาพอย่างยิ่ง

ในบริบทนี้ มีสามชื่อที่โดดเด่นและได้รับการกล่าวถึงบ่อยครั้งในรายงานทางเทคนิค ได้แก่: FvncBot, SeedSnatcher และ ClayRatแต่ละคนมีกลยุทธ์เฉพาะตัว แต่พวกเขาทั้งหมดมีเป้าหมายเดียวกันคือ ขโมยข้อมูลให้ได้มากที่สุดเท่าที่จะเป็นไปได้ และควบคุมอุปกรณ์นั้นโดยไม่ให้เกิดความสงสัย

ภัยคุกคามทางมือถือที่ทวีความรุนแรงมากขึ้นเรื่อยๆ

วิธีการเจาะระบบอุปกรณ์ Android ส่วนใหญ่มีพื้นฐานมาจาก... การหลอกลวงทางสังคมและการเผยแพร่แอปพลิเคชันที่เป็นอันตราย นอกเหนือจาก Google Play แล้ว ร้านค้าแอปพลิเคชันของบุคคลที่สาม โดเมนหลอกลวงที่เลียนแบบบริการยอดนิยม และช่องทางการส่งข้อความ เช่น Telegram ซึ่งมีการแชร์ลิงก์ไปยังไฟล์ APK ที่ถูกดัดแปลง ก็เป็นเป้าหมายของการโจรกรรมเช่นกัน

มัลแวร์โทรจันตัวใหม่เหล่านี้ใช้ประโยชน์จากฟังก์ชันการทำงานของระบบที่ถูกต้อง โดยเฉพาะอย่างยิ่ง... บริการการเข้าถึง, การซ้อนทับหน้าจอ และ API ของ MediaProjection (ใช้สำหรับบันทึกหรือแชร์หน้าจอ) ทำให้มันกลายเป็นเครื่องมือที่มีประสิทธิภาพอย่างยิ่งสำหรับการจารกรรมและการฉ้อโกงทางการเงิน

FvncBot: มัลแวร์ประเภทโทรจันสำหรับธุรกิจธนาคาร ที่สามารถควบคุมจากระยะไกลได้เหมือน VNC

กลอุบายหลักของพวกเขาคือการแสร้งทำเป็น... แอปพลิเคชันรักษาความปลอดภัยที่เกี่ยวข้องกับ mBankสถาบันการเงินชื่อดังแห่งหนึ่งในโปแลนด์ ผู้ใช้เชื่อว่ากำลังติดตั้งแอปพลิเคชันที่ถูกต้องตามกฎหมายซึ่งจะช่วยเพิ่มความปลอดภัยในการทำธุรกรรมธนาคารบนมือถือ แต่ในความเป็นจริงแล้ว พวกเขากำลังติดตั้งมัลแวร์ประเภทโทรจันที่สามารถบันทึกทุกการกระทำของผู้ใช้และควบคุมอุปกรณ์มือถือของผู้ใช้จากระยะไกลได้

กระบวนการแพร่เชื้อเริ่มต้นผ่านแอป "ดรอปเปอร์" ที่ทำหน้าที่เป็นตัวโหลด แอปนี้ได้รับการปกป้องด้วยบริการปกปิดและเข้ารหัสที่เรียกว่า apk0day นำเสนอโดย Golden Cryptทำให้ยากต่อการวิเคราะห์โค้ดและระบุตัวตนโดยใช้โซลูชันด้านความปลอดภัย เมื่อเปิดแอปพลิเคชัน จะแสดงข้อความแจ้งให้ผู้ใช้ติดตั้ง "ส่วนประกอบ Google Play" ที่คาดว่าจะช่วยเพิ่มเสถียรภาพหรือความปลอดภัยของระบบ

ในความเป็นจริง ส่วนประกอบนั้นก็คือตัวมันเอง มัลแวร์จาก FvncBotมัลแวร์นี้ใช้ประโยชน์จากวิธีการแบบเซสชันเพื่อหลีกเลี่ยงข้อจำกัดด้านการเข้าถึงที่นำมาใช้ใน Android 13 ดังนั้น แม้ในระบบปฏิบัติการเวอร์ชันล่าสุด มัลแวร์ก็ยังสามารถเปิดใช้งานสิทธิ์ที่จำเป็นเพื่อดูและควบคุมทุกอย่างบนอุปกรณ์ได้เกือบทั้งหมด

เมื่อเริ่มทำงานแล้ว FvncBot จะแจ้งให้ผู้ใช้ให้สิทธิ์อนุญาต สิทธิ์การเข้าถึงบริการหากเหยื่อยินยอม มัลแวร์ประเภทโทรจันจะได้รับ "พลังพิเศษ" ภายในระบบ: มันสามารถอ่านสิ่งที่แสดงอยู่บนหน้าจอ ตรวจจับแอปพลิเคชันที่เปิดอยู่ จำลองการกดแป้นพิมพ์ แสดงหน้าต่างซ้อนทับแอปพลิเคชันอื่น หรือบันทึกการกดแป้นพิมพ์ในแบบฟอร์มที่สำคัญ เช่น ข้อมูลการเข้าสู่ระบบธนาคาร

ในระหว่างการทำงาน มัลแวร์จะส่งเหตุการณ์และบันทึกต่างๆ ไปยัง... เซิร์ฟเวอร์ระยะไกลที่เชื่อมโยงกับโดเมน naleymilva.it.comผู้ปฏิบัติงานใช้เครื่องมือนี้เพื่อตรวจสอบสถานะของอุปกรณ์ที่ติดไวรัสแต่ละเครื่อง ตัวอย่างที่วิเคราะห์แสดงให้เห็นตัวระบุเวอร์ชัน "call_pl" ซึ่งชี้ชัดว่าประเทศโปแลนด์เป็นประเทศเป้าหมาย และเวอร์ชันที่มีป้ายกำกับว่า "1.0-P" ซึ่งบ่งชี้ว่า FvncBot ยังอยู่ในช่วงเริ่มต้นของการพัฒนาและอาจมีการพัฒนาต่อไปอีก

หลังจากลงทะเบียนอุปกรณ์แล้ว FvncBot จะสื่อสารกับโครงสร้างพื้นฐานการควบคุมและสั่งการโดยใช้ HTTP และ Firebase Cloud Messaging (FCM)ผ่านช่องทางเหล่านี้ ระบบจะรับคำสั่งแบบเรียลไทม์และสามารถปรับเปลี่ยนพฤติกรรมตามคำสั่งของผู้โจมตีได้ โดยการเปิดใช้งานหรือปิดใช้งานโมดูลเฉพาะ ขึ้นอยู่กับประเภทของเหยื่อหรือแคมเปญที่กำลังดำเนินอยู่

ในบรรดาฟังก์ชันต่างๆ ที่ระบุไว้ในมัลแวร์โทรจันนี้ มีหลายฟังก์ชันที่โดดเด่นและมีความสำคัญเป็นพิเศษ เช่น ความสามารถในการ เริ่มหรือหยุดการเชื่อมต่อ WebSocket ซึ่งอนุญาตให้ควบคุมอุปกรณ์จากระยะไกลได้: ผู้โจมตีสามารถปัด แตะ เลื่อน เปิดแอป หรือป้อนข้อมูลได้เกือบราวกับว่าพวกเขากำลังถือโทรศัพท์อยู่ในมือ

นอกจากนี้ FvncBot ยังทำการกรองอีกด้วย เหตุการณ์การเข้าถึง รายชื่อแอปที่ติดตั้ง และข้อมูลอุปกรณ์ (รุ่น เวอร์ชัน การกำหนดค่า ฯลฯ) เพื่อให้ผู้ปฏิบัติงานมีรายชื่อเป้าหมายที่ครบถ้วน ทราบว่ามีแอปพลิเคชันด้านการธนาคารหรือสกุลเงินดิจิทัลใดบ้าง และสามารถติดตั้งโอเวอร์เลย์ที่เป็นอันตรายเฉพาะในแอปพลิเคชันที่พวกเขาสนใจจริงๆ เท่านั้น

ทีมทรอยพร้อมที่จะแสดงฝีมือแล้ว หน้าจอปลอมแบบเต็มหน้าจอด้วยการเลียนแบบอินเทอร์เฟซของธนาคารหรือบริการอื่นๆ มัลแวร์นี้จะดักจับข้อมูลประจำตัว ข้อมูลบัตร หรือรหัสใช้ครั้งเดียว และยังสามารถซ่อนส่วนที่ซ้อนทับเหล่านี้เมื่อไม่จำเป็นอีกต่อไป ทำให้เหยื่อแทบไม่สังเกตเห็นความผิดปกติใดๆ นอกเหนือจากอาการหน้าจอกระพริบที่พวกเขามักจะคิดว่าเป็นเพียงความผิดพลาดทางภาพเท่านั้น

อีกแง่มุมที่โดดเด่นของ FvncBot คือการใช้งานของมัน API MediaProjection สำหรับการสตรีมหน้าจอแบบเรียลไทม์เมื่อผนวกกับการควบคุมระยะไกลผ่าน HVNC (Hidden Virtual Network Computing) แล้ว ผู้โจมตีจะเห็นสิ่งที่เหยื่อเห็นได้อย่างแม่นยำ และควบคุมแอปพลิเคชันของธนาคารได้อย่างอิสระ แม้แต่ในแอปพลิเคชันที่พยายามบล็อกการจับภาพหน้าจอโดยใช้แฟล็ก FLAG_SECURE ก็ตาม

เพื่อเอาชนะข้อจำกัดนี้ FvncBot จึงได้รวม "โหมดข้อความ" ไว้ด้วย ซึ่งจะวิเคราะห์ข้อความ เนื้อหาอินเทอร์เฟซ แม้ว่าจะไม่สามารถบันทึกภาพแบบดั้งเดิมได้ก็ตามดังนั้น แม้ว่าแอปพลิเคชันด้านการธนาคารหรือการชำระเงินจะป้องกันการจับภาพหน้าจอด้วยเหตุผลด้านความปลอดภัย แต่โทรจันก็ยังสามารถอ่านองค์ประกอบบนหน้าจอได้ด้วยบริการช่วยเหลือด้านการเข้าถึง

ขณะนี้ยังไม่มีการยืนยันอย่างเป็นทางการเกี่ยวกับเรื่องนี้ เวกเตอร์การกระจายหลักอย่างไรก็ตาม จากรูปแบบของมัลแวร์โทรจันที่โจมตีระบบธนาคารอื่นๆ ที่คล้ายคลึงกัน มีความเป็นไปได้สูงที่มันจะหันมาใช้กลยุทธ์การหลอกลวงทาง SMS (phishing SMS) การส่งลิงก์ผ่านแอปพลิเคชัน และการอัปโหลดแอปพลิเคชันปลอมหรือเครื่องมือรักษาความปลอดภัยปลอมลงในร้านค้าแอปพลิเคชันของบุคคลที่สาม

แม้ว่ากลุ่มตัวอย่างในปัจจุบันจะเน้นไปที่ผู้ใช้ชาวโปแลนด์และหน่วยงานเฉพาะแห่งหนึ่ง แต่ผู้เชี่ยวชาญคาดการณ์ว่า อีกไม่นาน FvncBot ก็จะปรับตัวให้เข้ากับประเทศและธนาคารอื่นๆ ได้การเปลี่ยนภาษา โลโก้ และเทมเพลตโอเวอร์เลย์นั้นค่อนข้างง่าย

SeedSnatcher: โปรแกรมค้นหา seed phrase และรหัส 2FA

หากเป้าหมายหลักของ FvncBot คือบัญชีธนาคารแบบดั้งเดิม SeedSnatcher มุ่งเป้าไปที่ระบบนิเวศคริปโตเคอร์เรนซีอย่างเต็มรูปแบบมัลแวร์ตระกูลนี้สำหรับระบบปฏิบัติการ Android ถูกออกแบบมาโดยเฉพาะเพื่อขโมยวลีรหัสลับ (seed phrase) รหัสส่วนตัว (private key) และข้อมูลใดๆ ก็ตามที่ช่วยให้มันสามารถควบคุมกระเป๋าเงินดิจิทัลได้

SeedSnatcher มีการจัดจำหน่ายเป็นหลักผ่านทาง Telegram และช่องทางโซเชียลมีเดียอื่นๆโดยใช้ชื่อ “Coin” เพื่อปลอมตัวเป็นแอปพลิเคชันการลงทุน เครื่องมือจัดการสกุลเงินดิจิทัล หรือโปรโมชั่นพิเศษ ผู้โจมตีมักเผยแพร่ลิงก์ไปยังเว็บไซต์ต่างๆ ไฟล์ APK ที่อ้างว่าถูกต้องตามกฎหมายโดยใช้ประโยชน์จากกลุ่มสาธารณะหรือกลุ่มเอกชนที่เกี่ยวข้องกับการซื้อขาย NFT หรือข่าวสารเกี่ยวกับบล็อกเชน

เมื่อติดตั้งแล้ว แอปพลิเคชันที่เป็นอันตรายจะไม่แสดงพฤติกรรมผิดปกติใดๆ ในตอนแรก อันที่จริง หนึ่งในคุณลักษณะสำคัญของมันคือ ไม่จำเป็นต้องขอใบอนุญาตเข้าประเทศมากนักโดยปกติแล้วจะจำกัดการเข้าถึงเฉพาะ SMS หรือฟังก์ชันพื้นฐาน เพื่อไม่ให้เกิดความสงสัยหรือกระตุ้นการแจ้งเตือนในระบบรักษาความปลอดภัยที่เน้นการตรวจสอบคำขออนุญาตมากเกินไป

อย่างไรก็ตาม ในเบื้องหลัง SeedSnatcher เริ่มใช้งานอาวุธของมัน โดยใช้ประโยชน์จากเทคนิคขั้นสูง เช่น การโหลดคลาสแบบไดนามิกและการแทรกเนื้อหาแบบซ่อนเร้นลงใน WebViewแอปนี้สามารถอัปเดตฟังก์ชันการทำงานจากเซิร์ฟเวอร์ควบคุมและสั่งการ ปรับเปลี่ยนได้แบบเรียลไทม์ หรือเปิดใช้งานโมดูลเฉพาะเมื่อเหยื่อเปิดแอปพลิเคชันที่เกี่ยวข้องกับสกุลเงินดิจิทัลบางแอปพลิเคชันเท่านั้น

หนึ่งในหน้าที่ที่อันตรายที่สุดคือความสามารถในการแสดงให้เห็น ภาพซ้อนฟิชชิ่งที่แนบเนียนมาก การหลอกลวงเหล่านี้เลียนแบบลักษณะของแอปกระเป๋าเงินดิจิทัล เว็บแลกเปลี่ยน หรือหน้าจอการกู้คืนบัญชีที่เป็นที่รู้จักกันดี ผู้ใช้เชื่อว่าพวกเขากำลังป้อนวลีรหัสเพื่อกู้คืนกระเป๋าเงินหรือยืนยันตัวตน แต่ในความเป็นจริง พวกเขากำลังมอบการควบคุมเงินทั้งหมดให้กับผู้โจมตี

นอกจากวลีเริ่มต้นแล้ว SeedSnatcher ยังดักจับข้อมูลอื่นๆ อีกด้วย ข้อความ SMS ขาเข้าเพื่อบันทึกรหัสยืนยันตัวตนสองขั้นตอน (2FA)สิ่งนี้เปิดช่องทางให้เกิดการโจรกรรมบัญชีบนบริการแลกเปลี่ยนหรือแพลตฟอร์มการซื้อขายที่ใช้ SMS เป็นปัจจัยที่สอง

มัลแวร์ไม่ได้จำกัดอยู่แค่ในโลกของคริปโตเคอร์เรนซีเท่านั้น แต่ยังถูกสร้างขึ้นเพื่อการใช้งานในด้านอื่นๆ ด้วย ดึงข้อมูลออกจากอุปกรณ์รวมถึงรายชื่อผู้ติดต่อ บันทึกการโทร ไฟล์ที่จัดเก็บไว้ในโทรศัพท์มือถือ และข้อมูลอื่นๆ ที่อาจเป็นประโยชน์สำหรับการหลอกลวงในอนาคต หรือสำหรับการขายในตลาดมืด

การสืบสวนที่ดำเนินการโดย CYFIRMA ชี้ให้เห็นว่าผู้ดำเนินการเว็บไซต์ SeedSnatcher อาจเป็นผู้กระทำความผิด กลุ่มที่ตั้งอยู่ในประเทศจีนหรือกลุ่มที่พูดภาษาจีนโดยอ้างอิงจากคำแนะนำในภาษาดังกล่าวที่พบในแผงควบคุมและช่องทางการเผยแพร่ที่เกี่ยวข้องกับมัลแวร์

กระบวนการเพิ่มสิทธิ์ของ SeedSnatcher นั้นเป็นไปตามรูปแบบที่คำนวณมาอย่างดี โดยเริ่มจากสิทธิ์ขั้นต่ำ และค่อยๆ ขอสิทธิ์เพิ่มเติมในภายหลัง สามารถเข้าถึงตัวจัดการไฟล์, โอเวอร์เลย์, รายชื่อติดต่อ, บันทึกการโทร และทรัพยากรอื่นๆ ได้พฤติกรรมแบบค่อยเป็นค่อยไปนี้ช่วยให้ระบบหลีกเลี่ยงโซลูชันด้านความปลอดภัยที่ใช้หลักการคาดเดาซึ่งทำงานเมื่อมีการร้องขอสิทธิ์จำนวนมากตั้งแต่เริ่มบูตเครื่อง

การผสมผสานระหว่างการหลอกลวงทางภาพ การขโมยข้อความ SMS การตรวจสอบคลิปบอร์ด และการดึงข้อมูลออกอย่างเงียบๆ ทำให้ SeedSnatcher เป็นโปรแกรมที่มีประสิทธิภาพสูง นี่เป็นภัยคุกคามร้ายแรงต่อผู้ใช้ทุกคนที่จัดการสกุลเงินดิจิทัลผ่านอุปกรณ์มือถือของตนโดยเฉพาะอย่างยิ่งหากคุณใช้กระเป๋าเงินดิจิทัลแบบไม่เก็บรักษาโดยผู้ให้บริการ ซึ่งใช้รหัสวลีเริ่มต้น (seed phrase)

ClayRat: สปายแวร์แบบโมดูลาร์ที่สามารถควบคุมอุปกรณ์ได้เกือบทั้งหมด

เวอร์ชันล่าสุดที่ตรวจพบนั้นโดดเด่นตรงที่มีการละเมิดกฎเพิ่มเติม บริการการเข้าถึงและสิทธิ์การส่ง SMS เริ่มต้นด้วยเหตุนี้ ClayRat จึงสามารถบันทึกการกดแป้นพิมพ์ อ่านการแจ้งเตือนที่ได้รับบนอุปกรณ์ ตรวจสอบแอปพลิเคชันที่สำคัญ และบันทึกทั้งหน้าจอและเสียง ทำให้โทรศัพท์มือถือกลายเป็นเครื่องมือเฝ้าระวังอย่างแท้จริง

มัลแวร์นี้ถูกออกแบบมาเพื่อแสดงผล โอเวอร์เลย์ที่จำลองการอัปเดตระบบ หน้าจอดำ หรือหน้าต่างการบำรุงรักษาสิ่งเหล่านี้ถูกใช้เพื่อปกปิดการกระทำที่เป็นอันตรายในขณะที่ผู้โจมตีทำการควบคุมอุปกรณ์ในเบื้องหลัง เมื่อผู้ใช้เห็นหน้าจอ "อัปเดตระบบ" หรือข้อความที่คล้ายกัน พวกเขามักจะรอโดยไม่แตะต้องอะไรเลย ทำให้ผู้ร้ายทางไซเบอร์มีเวลาเหลือเฟือในการทำงาน

อีกหนึ่งลักษณะที่น่ากังวลเป็นพิเศษคือความสามารถของ ClayRat ในการ อุปกรณ์จะปลดล็อกโดยอัตโนมัติไม่ว่าคุณจะใช้ PIN รหัสผ่าน หรือรูปแบบการล็อกหน้าจอ ฟังก์ชันนี้เมื่อรวมกับการบันทึกหน้าจอและการบันทึกการกดแป้นพิมพ์ จะช่วยให้สามารถควบคุมอุปกรณ์มือถือได้อย่างสมบูรณ์โดยที่ผู้ใช้ไม่ต้องป้อนข้อมูลประจำตัวซ้ำๆ

ในแคมเปญล่าสุด ClayRat ได้แพร่กระจายไปอย่างน้อย 25 แห่ง โดเมนฟิชชิ่งที่เลียนแบบบริการที่ถูกต้องตามกฎหมาย เช่น YouTubeแอปดังกล่าวโปรโมตเวอร์ชัน "โปร" ที่อ้างว่ามีฟังก์ชั่นเล่นวิดีโอเบื้องหลังและรองรับ 4K HDR ผู้ใช้ดาวน์โหลดแอปโดยเข้าใจผิดว่าเป็นเวอร์ชันพรีเมียมและติดตั้งสปายแวร์โดยไม่รู้ตัว

ยังมีการค้นพบ แอปแอบอ้างเป็นแอปเรียกรถแท็กซี่และจอดรถ ในภูมิภาคต่างๆ เช่น รัสเซีย แอปปลอมเหล่านี้ทำหน้าที่เป็นเครื่องมือในการติดตั้ง ClayRat คล้ายกับรูปแบบที่ใช้โดย FvncBot ซึ่งแอปที่ดูเหมือนไม่มีอันตรายจะดาวน์โหลดหรือเปิดใช้งานส่วนประกอบที่เป็นอันตรายจริง

มัลแวร์สามารถสร้างได้ การแจ้งเตือนปลอมและแบบโต้ตอบ ซึ่งดูเหมือนจะมาจากระบบหรือแอปพลิเคชันที่ถูกต้องตามกฎหมาย เพื่อรวบรวมการตอบสนองจากผู้ใช้ (ตัวอย่างเช่น รหัส การยืนยันการดำเนินการ หรือสิทธิ์เพิ่มเติม) โดยที่ผู้ใช้ไม่รู้ตัวว่ากำลังโต้ตอบกับอินเทอร์เฟซที่ถูกควบคุมโดยผู้โจมตี

เมื่อเทียบกับเวอร์ชันก่อนหน้า ClayRat เวอร์ชันใหม่นี้กำจัดได้ยากกว่ามาก เนื่องจากกลไกการคงอยู่ของมันและ... ความสามารถในการพรางกิจกรรมของคุณผ่านการซ้อนทับและการล็อกหน้าจอ พวกเขาสร้างระบบที่ทำให้ผู้ใช้มีโอกาสน้อยลงในการถอนการติดตั้งแอปพลิเคชันหรือปิดอุปกรณ์ได้ทันเวลา

ลักษณะเหล่านี้ ประกอบกับข้อสงสัยว่าอาจเกี่ยวข้องกับกลุ่ม APT การสนับสนุนจากรัฐที่เป็นไปได้ด้วยเหตุนี้ ClayRat จึงเป็นหนึ่งในเครื่องมือสอดแนมบนมือถือที่อันตรายที่สุดในปัจจุบัน โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมขององค์กรที่มีนโยบาย BYOD (Bring Your Own Device) ซึ่งพนักงานใช้โทรศัพท์มือถือส่วนตัวในการเข้าถึงระบบภายในองค์กร

เทคนิคที่ใช้กันทั่วไป: การเข้าถึงได้ง่าย, การซ้อนทับ และการหลบเลี่ยงขั้นสูง

แม้ว่า FvncBot, SeedSnatcher และ ClayRat จะมีเป้าหมายที่แตกต่างกัน (การธนาคารแบบดั้งเดิม สกุลเงินดิจิทัล หรือการจารกรรมขั้นสูง) แต่พวกมันก็มีชุดคำสั่งพื้นฐานร่วมกัน กลยุทธ์และเทคนิคสำคัญ ซึ่งเป็นเหตุผลว่าทำไมพวกเขาถึงประสบความสำเร็จอย่างมากในแคมเปญจริง

ก่อนอื่น การใช้งานบริการการเข้าถึงของ Android ในทางที่ผิด ฟังก์ชันนี้ได้กลายเป็นหัวใจสำคัญของมัลแวร์สมัยใหม่ เดิมทีฟังก์ชันนี้ถูกออกแบบมาเพื่อช่วยเหลือผู้พิการในการใช้งานอุปกรณ์ แต่กลับช่วยให้สามารถอ่านเนื้อหาบนหน้าจอ ตรวจจับการเปลี่ยนแปลงของหน้าจอ และดำเนินการต่างๆ โดยอัตโนมัติ ซึ่งมีประโยชน์อย่างมาก...ทั้งในด้านการใช้งานและอาชญากรรมไซเบอร์

อีกหนึ่งองค์ประกอบร่วมกันคือการใช้งานอย่างเข้มข้นของ การซ้อนทับเพื่อปลอมแปลงเป็นแอปพลิเคชันที่ถูกต้องด้วยการวางหน้าจอปลอมทับแอปพลิเคชันจริง ไม่ว่าจะเป็นแอปธนาคาร กระเป๋าเงินดิจิทัล หรือบริการยอดนิยม ผู้โจมตีสามารถดักจับข้อมูลประจำตัว ข้อมูลส่วนบุคคล และข้อมูลใดๆ ที่ผู้ใช้ป้อน โดยไม่จำเป็นต้องเจาะระบบแอปพลิเคชันเป้าหมายโดยตรง

นอกจากนี้ มัลแวร์ประเภทโทรจันเหล่านี้ยังผสานรวมเข้าด้วยกันอีกด้วย เทคนิคการหลบเลี่ยงขั้นสูง เพื่อทำให้การวิเคราะห์และการตรวจจับซับซ้อนยิ่งขึ้น เรียนรู้ที่จะ สแกนหามัลแวร์ด้วย Google Play Protect: การเข้ารหัสลับ การใช้บริการเข้ารหัสภายนอก เช่น apk0day การโหลดคลาสแบบไดนามิกที่ดาวน์โหลดจากเซิร์ฟเวอร์ควบคุมและสั่งการเฉพาะเมื่อจำเป็น และแม้แต่คำสั่งที่ใช้ตัวเลขจำนวนเต็มเพื่อให้การรับส่งข้อมูลดูไม่ชัดเจน

การสื่อสารกับเซิร์ฟเวอร์ของผู้โจมตีก็มีความซับซ้อนมากขึ้นเช่นกัน การใช้ Firebase Cloud Messaging เพื่อรับคำสั่งซื้อการสร้างการเชื่อมต่อ WebSocket สำหรับการควบคุมแบบเรียลไทม์และการส่งข้อมูลออกไปอย่างลับๆ ผ่าน HTTP หรือ HTTPS ทำให้ทราฟฟิกที่เป็นอันตรายกลมกลืนกับทราฟฟิกที่ถูกต้อง ทำให้ยากต่อการระบุตัวตนบนเครือข่ายขององค์กรหรือเครือข่ายบ้าน

ทั้งหมดนี้รวมเข้ากับ เป็นงานวิศวกรรมทางสังคมที่ประณีตมากแอปเหล่านี้ปลอมตัวเป็นส่วนประกอบของ Google Play แอปพลิเคชันรักษาความปลอดภัย เครื่องมือธนาคารอย่างเป็นทางการ เวอร์ชัน "โปร" ของแพลตฟอร์มยอดนิยมอย่าง YouTube หรือบริการที่เป็นที่ต้องการ เช่น แท็กซี่และที่จอดรถ เป้าหมายคือการทำให้ผู้ใช้ลดความระมัดระวังและโน้มน้าวให้พวกเขายินยอมให้สิทธิ์ที่สำคัญโดยไม่คิดให้รอบคอบ

วิธีปกป้องอุปกรณ์ Android ของคุณจาก FvncBot, SeedSnatcher และ ClayRat

ไม่มีมาตรการใดที่ป้องกันได้ 100% แต่การปฏิบัติตามหลักปฏิบัติที่ดีขั้นพื้นฐานจะช่วยลดโอกาสที่จะตกเป็นเหยื่อของแคมเปญหลอกลวงเช่นนี้ได้อย่างมาก FvncBot, SeedSnatcher หรือ ClayRatการโจมตีหลายรูปแบบอาศัยความประมาทของผู้ใช้และการตั้งค่าอุปกรณ์ที่ไม่ถูกต้อง

กฎข้อแรกนั้นชัดเจน แต่ก็ยังคงเป็นกฎที่มีประสิทธิภาพมากที่สุด: ติดตั้งแอปพลิเคชันจากแหล่งที่เชื่อถือได้เท่านั้นเช่น Google Play หรือเว็บไซต์อย่างเป็นทางการของผู้ให้บริการ และ ตรวจสอบรายชื่อแอปอันตรายการดาวน์โหลดไฟล์ APK จากลิงก์ในฟอรัม ช่อง Telegram หรือเพจที่สัญญาว่าจะให้แอปเวอร์ชันฟรีของแอปแบบเสียเงิน ถือเป็นหนึ่งในช่องทางหลักในการแพร่กระจายมัลแวร์บนมือถือในปัจจุบัน

นอกจากนี้ยังจำเป็นอย่างยิ่ง ควรอัปเดตระบบปฏิบัติการและแอปพลิเคชันของคุณให้เป็นเวอร์ชันล่าสุดอยู่เสมอGoogle และผู้ผลิตมักออกแพทช์แก้ไขช่องโหว่ด้านความปลอดภัยอยู่เสมอ และมัลแวร์ประเภทโทรจันจำนวนมากอาศัยจุดอ่อนที่ทราบกันดีอยู่แล้ว ซึ่งสามารถหลีกเลี่ยงได้ง่ายๆ โดยการติดตั้งเวอร์ชันล่าสุดที่มีให้ใช้งาน

การจัดการรหัสผ่านและการตรวจสอบสิทธิ์เป็นอีกประเด็นสำคัญ ควรใช้ ใช้คีย์ที่แข็งแกร่ง เฉพาะสำหรับแต่ละบริการ และเปิดใช้งานการตรวจสอบสิทธิ์แบบสองขั้นตอน (2FA) ในระบบธนาคาร อีเมล เครือข่ายสังคมออนไลน์ และแพลตฟอร์มคริปโตเคอร์เรนซี ระบบนี้จะเพิ่มชั้นการป้องกันอีกชั้นหนึ่ง แม้ว่าอย่างที่เราได้เห็นกันไปแล้ว มัลแวร์บางชนิดก็พยายามขโมยรหัส 2FA ผ่านทาง SMS ด้วยเช่นกัน

เมื่อใดก็ตามที่เป็นไปได้ ควรเลือกใช้ วิธีการยืนยันตัวตนสองขั้นตอนที่มีประสิทธิภาพยิ่งขึ้นเช่น แอปตรวจสอบสิทธิ์หรือกุญแจรักษาความปลอดภัยทางกายภาพ แทนที่จะใช้ SMS แบบดั้งเดิม ซึ่งมัลแวร์อย่าง SeedSnatcher สามารถดักจับได้ง่ายกว่า

เคล็ดลับสำคัญอีกประการหนึ่งคือการทบทวนอย่างใจเย็น การอนุญาตที่แอปพลิเคชันร้องขอหากแอปพลิเคชันที่อ้างว่าให้คุณดูวิดีโอ ตรวจสอบสภาพอากาศ หรือจัดการที่จอดรถ ขอสิทธิ์การเข้าถึงข้อความ SMS บริการช่วยเหลือผู้พิการ รายชื่อผู้ติดต่อ หรือการจัดการอุปกรณ์ โปรดระวังไว้ การโจมตีหลายรูปแบบอาศัยการที่ผู้ใช้กด "ยอมรับ" โดยไม่ได้อ่านข้อกำหนด

ในสภาพแวดล้อมขององค์กรธุรกิจ องค์กรควรนำไปปฏิบัติใช้ นโยบายการจัดการอุปกรณ์เคลื่อนที่ (MDM)จำกัดการติดตั้งแอปพลิเคชันที่ไม่ได้รับอนุญาต และทำการตรวจสอบเป็นประจำเพื่อตรวจจับพฤติกรรมที่น่าสงสัย นอกจากนี้ การฝึกอบรมพนักงานให้รู้จักสังเกตการพยายามหลอกลวง ไม่ว่าจะเป็นผ่านทาง SMS อีเมล หรือโปรแกรมแชท ก็เป็นสิ่งสำคัญเช่นกัน

สำหรับผู้ใช้งานขั้นสูง การผสมผสานมาตรการข้างต้นอาจเป็นประโยชน์ โซลูชันความปลอดภัยบนมือถือเฉพาะ เครื่องมือเหล่านี้วิเคราะห์พฤติกรรมของแอป ตรวจจับการละเมิดการเข้าถึง และตรวจสอบความสมบูรณ์ของอุปกรณ์อย่างต่อเนื่อง อย่างไรก็ตาม ไม่มีเครื่องมือทางเทคนิคใดที่จะทดแทนสามัญสำนึกในการติดตั้งและใช้งานแอปได้

ในระดับส่วนบุคคล แนะนำให้ปฏิบัติตามนิสัยบางอย่างดังนี้: โปรดระวังลิงก์ที่ไม่คาดคิด และตรวจสอบ URL ของเว็บไซต์ที่ขอข้อมูลประจำตัวของคุณหลีกเลี่ยงการป้อนวลีรหัสลับหรือรายละเอียดบัญชีธนาคารในหน้าจอที่ปรากฏขึ้นหลังจากติดตั้งแอปที่ไม่รู้จัก และหากมีข้อสงสัย โปรดติดต่อหน่วยงานหรือบริการนั้นโดยตรงผ่านช่องทางอย่างเป็นทางการ

การปรากฏตัวของ FvncBot, SeedSnatcher และ ClayRat เวอร์ชันปรับปรุงใหม่ แสดงให้เห็นว่า แนวรบได้ย้ายไปสู่รูปแบบเคลื่อนที่แล้ว ด้วยความเข้มข้นที่เท่ากันหรือมากกว่าบนคอมพิวเตอร์เดสก์ท็อป การผสมผสานระหว่างการใช้ช่องโหว่การเข้าถึงในทางที่ผิด การซ้อนทับที่ซับซ้อน การควบคุมระยะไกลแบบ VNC และการหลบเลี่ยงขั้นสูง หมายความว่าการละเลยใดๆ ก็อาจส่งผลให้เกิดการขโมยเงิน การขโมยข้อมูลในกระเป๋าเงิน หรือการเปิดเผยชีวิตดิจิทัลทั้งหมด การตระหนักว่าโทรศัพท์เป็นเป้าหมายสำคัญและดำเนินการอย่างเหมาะสม—เช่น การระมัดระวังเกี่ยวกับสิ่งที่เราติดตั้ง สิทธิ์ที่เราให้ และวิธีการจัดการบัญชีของเรา—จึงกลายเป็นองค์ประกอบสำคัญของความปลอดภัยในชีวิตประจำวัน

ภาพประกอบโทรศัพท์มือถือพร้อมไอคอนคำเตือน

บทความที่เกี่ยวข้อง:

คู่มือฉบับสมบูรณ์ในการตรวจจับ ป้องกัน และลบมัลแวร์บน Android: ปกป้องโทรศัพท์และข้อมูลส่วนบุคคลของคุณ