แคมเปญโจมตีมัลแวร์บนมือถือ Anatsa

นักวิจัยด้านความปลอดภัยไซเบอร์ค้นพบการโจมตีด้วยมัลแวร์ธนาคารบน Android ระลอกใหม่ ซึ่งเกิดจากโทรจัน Anatsa ภัยคุกคามที่ซับซ้อนนี้ หรือที่รู้จักกันในชื่อ TeaBot หรือ Toddler ได้กลับมาปรากฏตัวอีกครั้งด้วยแคมเปญที่มุ่งเป้าไปที่ผู้ใช้ในสหรัฐอเมริกาและแคนาดา โดยใช้กลยุทธ์หลอกลวงผ่านแอปพลิเคชันที่ดูเหมือนถูกกฎหมายซึ่งเผยแพร่บน Google Play Store

มัลแวร์ปลอมตัวเป็นเครื่องมือเอกสาร

หัวใจสำคัญของแคมเปญนี้คือแอปดรอปเปอร์ที่ปลอมตัวเป็นยูทิลิตี้ชื่อ 'Document Viewer - File Reader' (แพ็กเกจ APK: 'com.stellarastra.maintainer.astracontrol_managerreadercleaner') แอปนี้ปลอมตัวเป็นเครื่องมือ PDF ที่ไม่เป็นอันตราย เผยแพร่โดยนักพัฒนาชื่อ 'Hybrid Cars Simulator, Drift & Racing' ซึ่งเป็นชื่อที่สร้างความสงสัยให้กับตัวเอง เมื่อมียอดดาวน์โหลดจำนวนมาก การอัปเดตได้ฝังโค้ดอันตรายที่ดาวน์โหลดและติดตั้ง Anatsa ลงในอุปกรณ์ของเหยื่อ

แอปนี้เปิดตัวเมื่อวันที่ 7 พฤษภาคม 2025 และขึ้นสู่อันดับที่สี่ในหมวดหมู่เครื่องมือฟรียอดนิยม ณ วันที่ 29 มิถุนายน 2025 ณ ขณะนั้นแอปมียอดดาวน์โหลดสะสมประมาณ 90,000 ครั้งก่อนที่จะถูกลบออก ต่อมา Google ได้ยืนยันการลบแอปนี้และบัญชีนักพัฒนาที่เกี่ยวข้องออกจาก Play Store แล้ว

กลยุทธ์ที่ซ่อนเร้นและคู่มือการเล่นที่คุ้นเคย

แคมเปญ Anatsa ดำเนินตามวัฏจักรที่ผ่านการลองและทดสอบมาแล้ว:

การปรับใช้แอปที่ถูกต้องตามกฎหมาย : อัปโหลดแอปที่สะอาดและมีฟังก์ชันครบถ้วนไปยัง Play Store

การติดเชื้อที่ล่าช้า : หลังจากสร้างฐานผู้ใช้ที่มีขนาดใหญ่แล้ว ให้ส่งการอัปเดตที่มีโค้ดที่เป็นอันตราย

การติดตั้งแบบเงียบ : มัลแวร์จะติดตั้งเป็นแอปที่แยกต่างหาก ซึ่งมองไม่เห็นจากแพ็คเกจเดิม

การกำหนดเป้าหมาย : จะได้รับรายชื่อสถาบันการเงินที่จะโจมตีโดยดึงข้อมูลแบบไดนามิกจากเซิร์ฟเวอร์ภายนอก

การโจมตีแบบหลายขั้นตอนนี้เป็นส่วนหนึ่งของกลยุทธ์ความสำเร็จที่ยั่งยืนของ Anatsa แคมเปญนี้ซ่อนตัวอยู่ในช่วงเริ่มต้นและเริ่มทำงานหลังจากได้รับความไว้วางใจและแรงผลักดันแล้วเท่านั้น จึงหลีกเลี่ยงการตรวจพบตั้งแต่เนิ่นๆ และเพิ่มผลลัพธ์สูงสุดในช่วงเวลาการจัดจำหน่ายที่สั้นแต่มีประสิทธิภาพ ซึ่งในกรณีนี้คือระหว่างวันที่ 24 มิถุนายน ถึง 30 มิถุนายน 2568

ความสามารถขั้นสูงสำหรับการฉ้อโกงทางการเงิน

เมื่อติดตั้งแล้ว Anatsa จะเปิดใช้งานกิจกรรมอันตรายต่างๆ ที่มุ่งเป้าไปที่การแสวงหาผลประโยชน์ทางการเงิน:

• การโจรกรรมข้อมูลประจำตัวผ่านการโจมตีแบบโอเวอร์เลย์และการบันทึกแป้นพิมพ์

โอเวอร์เลย์เหล่านี้หลอกผู้ใช้ให้คิดว่าแอปของธนาคารของตนปิดให้บริการชั่วคราวเพื่อการบำรุงรักษา แต่ในความเป็นจริงแล้ว ข้อมูลรับรองกำลังถูกดูดออกไป และอาจนำไปใช้ในธุรกรรมที่ไม่ได้รับอนุญาต

วิวัฒนาการระดับโลกของภัยคุกคามจากอนัตสา

Anatsa ถูกพบเห็นครั้งแรกในปี 2020 และได้พัฒนาไปอย่างมาก ก่อนหน้านี้ในปี 2024 มัลแวร์นี้ได้โจมตีผู้ใช้ในสโลวาเกีย สโลวีเนีย และสาธารณรัฐเช็ก โดยใช้กลยุทธ์ที่คล้ายคลึงกัน โดยแอปที่ไม่เป็นอันตรายกลับกลายเป็นอันตรายหลังจากเปิดตัวครั้งแรกเพียงไม่กี่สัปดาห์ ความสามารถของมัลแวร์ในการปรับตัวและขยายขอบเขตทางภูมิศาสตร์ ตอกย้ำภัยคุกคามที่ต่อเนื่องต่อลูกค้าธนาคารบนมือถือทั่วโลก

แคมเปญล่าสุดในอเมริกาเหนือสะท้อนให้เห็นถึงความสนใจที่เพิ่มมากขึ้นของ Anatsa ในสถาบันการเงินของสหรัฐอเมริกาและแคนาดา รวมถึงความสามารถในการปรับเปลี่ยนอย่างรวดเร็วและนำวิธีการโจมตีที่ประสบความสำเร็จกลับมาใช้ใหม่ด้วยการปรับเปลี่ยนเล็กน้อย

มาตรการป้องกันและการตอบสนองของอุตสาหกรรม

องค์กรในภาคบริการทางการเงินควรได้รับการกระตุ้นให้:

• ตรวจสอบกิจกรรมที่น่าสงสัยที่มีต้นทางจากอุปกรณ์เคลื่อนที่
• ให้ความรู้แก่ลูกค้าเกี่ยวกับอันตรายของการวางซ้อนแอพปลอมและการอัปเดตที่ไม่ได้รับอนุญาต
• เสริมสร้างกลไกการตรวจสอบยืนยันตัวตนเพื่อตรวจจับการฉ้อโกงแม้ว่าข้อมูลประจำตัวจะถูกบุกรุกก็ตาม

สัญญาณเตือนที่สำคัญสำหรับผู้ใช้:

• แอปที่ร้องขอการอนุญาตที่ผิดปกติหลังจากการอัปเดต
• การปรากฎของ "การดูแลรักษา" ซ้อนทับบนแอปธนาคารอย่างกะทันหัน
• ความไม่สอดคล้องกันในชื่อของผู้พัฒนาแอปหรือหมวดหมู่แอป

Google ระบุว่าแอปอันตรายที่เกี่ยวข้องกับแคมเปญนี้ได้ถูกลบออกจาก Google Play Store แล้ว

ความคิดสุดท้าย

แคมเปญ Anatsa เป็นเครื่องเตือนใจอย่างชัดเจนว่าความไว้วางใจสามารถถูกนำไปใช้ประโยชน์ได้อย่างรวดเร็วเพียงใดในระบบนิเวศดิจิทัล มัลแวร์สามารถแทรกซึมเข้าไปในอุปกรณ์ได้หลายพันเครื่องด้วยการผสมผสานเข้ากับสภาพแวดล้อมที่เชื่อถือได้ของ Google Play Store การศึกษาอย่างต่อเนื่อง การตรวจสอบความปลอดภัยเชิงรุก และการวิพากษ์วิจารณ์อย่างถี่ถ้วน ยังคงเป็นแนวทางป้องกันที่ดีที่สุดต่อภัยคุกคามที่เปลี่ยนแปลงไปเช่นนี้