BankBot RAT
BankBot คือโทรจันเข้าถึงระยะไกลที่ทรงพลังบน Android ซึ่งเมื่อติดตั้งแล้วจะสามารถเข้าควบคุมอุปกรณ์ได้อย่างกว้างขวาง BankBot ใช้ประโยชน์จากฟีเจอร์การเข้าถึงของ Android เพื่อยกระดับสิทธิ์ จัดการการดำเนินการอินเทอร์เฟซผู้ใช้แบบอัตโนมัติ รวบรวมข้อมูลสำคัญ และดำเนินการที่ไม่ได้รับอนุญาต ซึ่งอาจนำไปสู่การฉ้อโกงทางการเงิน การโจรกรรมข้อมูลประจำตัว และการติดตั้งมัลแวร์ การติดเชื้อใดๆ ที่ได้รับการยืนยันแล้วจำเป็นต้องได้รับการแก้ไขทันที
สารบัญ
การซ่อนตัวและการสร้างโปรไฟล์อุปกรณ์
BankBot หลีกเลี่ยงการวิเคราะห์อย่างจริงจังและกำหนดเป้าหมายเฉพาะสภาพแวดล้อมที่เลือกไว้ โดยจะทำการตรวจสอบอีมูเลเตอร์และแซนด์บ็อกซ์ ตรวจสอบแอตทริบิวต์ของอุปกรณ์ (ยี่ห้อ รุ่น และ ROM) และปรับเปลี่ยนพฤติกรรมเพื่อให้ทำงานบนอุปกรณ์จริงที่เลือกไว้ ในขณะที่ยังคงทำงานแบบพักหรือหลบเลี่ยงในสภาพแวดล้อมแล็บ มัลแวร์ยังรวบรวมและบันทึกข้อมูลระยะไกลของอุปกรณ์ เช่น เวอร์ชันและรุ่นของ Android, ยี่ห้อและรุ่น, ผู้ผลิต, รหัสฮาร์ดแวร์และรุ่น และชื่อผลิตภัณฑ์ เพื่อสร้างโปรไฟล์เป้าหมายและข้ามอุปกรณ์ที่ไม่รองรับ
การได้รับการควบคุม: การเข้าถึงที่ผิดและการคงอยู่เงียบๆ
กลยุทธ์หลักคือการใช้บริการการเข้าถึงในทางที่ผิด BankBot สามารถเปิดการตั้งค่าการเข้าถึงและหลอกล่อผู้ใช้ให้เปิดใช้งานบริการการเข้าถึงที่เป็นอันตราย ด้วยระบบนี้ BankBot จะสามารถคลิก ป้อนข้อความ เปิดใช้งานสิทธิ์อื่นๆ และดำเนินการต่างๆ โดยอัตโนมัติโดยไม่ต้องได้รับความยินยอมจากผู้ใช้ นอกจากนี้ยังสามารถขโมยสิทธิ์ผู้ดูแลระบบอุปกรณ์ได้อีกด้วย เพื่อให้สามารถอยู่รอดหลังการรีบูตและรักษาการเข้าถึงในระยะยาว มัลแวร์จะกำหนดเวลาการทำงานซ้ำๆ (ประมาณทุก 30 วินาที) ซึ่งต้องอาศัยการเชื่อมต่อเครือข่ายและยังคงทำงานต่อไปแม้อุปกรณ์จะรีสตาร์ทก็ตาม
ความสามารถ — สิ่งที่ BankBot สามารถทำได้
ชุดฟีเจอร์ของ BankBot ช่วยให้สามารถควบคุมโทรศัพท์ที่ติดไวรัสได้เกือบสมบูรณ์ ความสามารถหลักๆ ได้แก่ การปิดเสียงระบบเพื่อระงับการแจ้งเตือน (เสียงเรียกเข้า การแจ้งเตือน สื่อ) การแสดงข้อความแจ้งเตือนปลอมแบบเต็มหน้าจอ (เช่น 'การยืนยันข้อมูลส่วนบุคคล') เพื่อเบี่ยงเบนความสนใจของเหยื่อในขณะที่เปิดใช้งานสิทธิ์อนุญาต และเปิดใช้งานบริการและสถานะผู้ดูแลระบบอย่างเงียบๆ BankBot สามารถเปิดหรือปิดแอปต่างๆ รีเฟรชหน้าจอ จำลองการสัมผัสและปัดหน้าจอ ปลดล็อกหน้าจอ ควบคุมการโอนสาย ส่งข้อความ SMS ติดตั้งหรือถอนการติดตั้งไฟล์ APK ดาวน์โหลดไฟล์ ถ่ายภาพและบันทึกภาพหน้าจอ ซ่อนหน้าต่าง และตั้งค่าข้อความในช่องป้อนข้อมูล มัลแวร์ยังสามารถอ่านคลิปบอร์ดของ Android และดึงข้อมูลเนื้อหาออกมาได้ เช่น เปิดเผยรหัสผ่าน วลีลับ และความลับอื่นๆ และยังบันทึกรายชื่อผู้ติดต่อ SMS รายการแอปที่ติดตั้ง สถานะอุปกรณ์ และตำแหน่งทางภูมิศาสตร์
การกำหนดเป้าหมายการธนาคารและการเข้ารหัส — แอปใดบ้างที่มีความเสี่ยง
BankBot รับคำสั่งจากเซิร์ฟเวอร์ควบคุมและสั่งการ (command-and-control server) ซึ่งจัดทำรายการแอปพลิเคชันทางการเงินและการธนาคารเพื่อกำหนดเป้าหมายสำหรับการโจรกรรมข้อมูลประจำตัวหรือธุรกรรมฉ้อโกง นอกจากนี้ยังกำหนดเป้าหมายเฉพาะกระเป๋าเงินคริปโตเคอร์เรนซีจำนวนมาก โดยการทำให้ UI ของแอปพลิเคชันกระเป๋าเงินเป็นแบบอัตโนมัติผ่าน Accessibility เพื่ออ่านข้อมูลสำคัญ เช่น วลีเริ่มต้น (seed phrase) คีย์ส่วนตัว หรือรายละเอียดธุรกรรม ตัวอย่างเป้าหมายของกระเป๋าเงินที่พบ ได้แก่:
- AUTOS, Bitcoin, BitKeep, กระเป๋าเงิน Blockchain, กระเป๋าเงิน Coin98 Super, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, Status (กระเป๋าเงิน Crypto Ethereum), TokenPocket, กระเป๋าเงิน Trust, Valor
เทคนิคการหลอกลวงและการปลอมแปลงแอป
เพื่อลดความสงสัย BankBot สามารถเปลี่ยนไอคอนและชื่อเพื่อปลอมแปลงเป็นบริการที่ถูกต้องตามกฎหมาย (เช่น แสดงตนเป็น Google News) แล้วเปิดเนื้อหาเว็บที่ดูน่าเชื่อถือภายใน WebView การเปลี่ยนแปลงรูปลักษณ์เหล่านี้ ประกอบกับการแจ้งเตือนปลอมๆ คล้าย reCAPTCHA หรือกล่องโต้ตอบยืนยันแบบเต็มหน้าจอ ถูกใช้เพื่อหลอกให้ผู้ใช้ให้สิทธิ์หรือโต้ตอบกับแอปในขณะที่มีการกระทำที่เป็นอันตรายเกิดขึ้นอยู่เบื้องหลัง
ผู้ใช้โดยทั่วไปจะเข้าสู่ BankBot อย่างไร
ในหลายกรณี เหยื่อจะติดตั้ง BankBot เองหลังจากถูกหลอก เส้นทางการติดเชื้อที่พบบ่อย ได้แก่:
- การโหลด APK จากไซต์ที่ควบคุมโดยผู้โจมตีหรือร้านค้าของบุคคลที่สาม
- แอปปลอมหรือแอปที่เป็นอันตรายซึ่งเผยแพร่ผ่านที่เก็บแอปที่ไม่น่าเชื่อถือ
- การติดตั้งแบบไดรฟ์บายหรือดาวน์โหลดจากโฆษณาหลอกลวงและป๊อปอัปบนเว็บไซต์ที่น่าสงสัย
- ลิงก์ใน SMS แอปส่งข้อความ หรืออีเมลฟิชชิ่ง
วิศวกรรมทางสังคมเป็นศูนย์กลางของการเผยแพร่ อาชญากรสร้างเหยื่อล่อที่น่าเชื่อถือเพื่อโน้มน้าวผู้ใช้ให้ดาวน์โหลดและรันมัลแวร์
ความเสี่ยงและผลกระทบที่คาดว่าจะเกิดขึ้น
อุปกรณ์ที่ติดไวรัสอาจถูกยึดบัญชี ทำธุรกรรมทางการเงินโดยไม่ได้รับอนุญาต ขโมยข้อมูลประจำตัว และสูญเสียความเป็นส่วนตัว การผสมผสานระหว่างการเข้าถึงที่ไม่เหมาะสม การคงอยู่แบบเงียบๆ การกำหนดโปรไฟล์อุปกรณ์ และการโจมตีแบบเจาะจงไปที่แอปธนาคารและคริปโต ทำให้ BankBot เป็นอันตรายอย่างยิ่งสำหรับผู้ใช้ที่มีแอปทางการเงินหรือกระเป๋าเงินคริปโตบนโทรศัพท์
ขั้นตอนการควบคุมและการกู้คืนทันที
- เพิกถอนสิทธิ์ที่น่าสงสัย: ลบสิทธิ์การเข้าถึงและการแจ้งเตือนสำหรับแอปที่ไม่รู้จัก และเพิกถอนสิทธิ์ผู้ดูแลระบบอุปกรณ์
- ถอนการติดตั้งแอปที่เป็นอันตรายและสแกนแบบเต็มด้วยผลิตภัณฑ์รักษาความปลอดภัยมือถือที่มีชื่อเสียง
- เปลี่ยนรหัสผ่านและเปิดใช้งานการตรวจสอบปัจจัยหลายประการสำหรับบัญชีทางการเงินและบริการใดๆ ที่ใช้บนอุปกรณ์ — ดำเนินการนี้จากอุปกรณ์ที่สะอาด
- ติดต่อธนาคารหรือผู้ให้บริการกระเป๋าเงินหากคุณสงสัยว่ามีกิจกรรมฉ้อโกง และตรวจสอบบัญชีเพื่อหาธุรกรรมที่ไม่ได้รับอนุญาต
- หากวลีเมล็ดพันธุ์หรือคีย์ส่วนตัวถูกเปิดเผย ให้ย้ายเงินไปยังที่อยู่กระเป๋าเงินใหม่ซึ่งมีคีย์ที่ถูกสร้างขึ้นบนอุปกรณ์ที่สะอาด
การป้องกัน
อัปเดตระบบปฏิบัติการและแอปของอุปกรณ์ให้เป็นปัจจุบันอยู่เสมอ หลีกเลี่ยงการโหลดไฟล์ APK จากแหล่งที่ไม่น่าเชื่อถือ หรือติดตั้งแอปจากแหล่งที่ไม่น่าเชื่อถือ ปิดใช้งานการติดตั้งอัตโนมัติจากแหล่งที่ไม่รู้จัก ระวังการแจ้งเตือนที่ขอให้คุณเปิดใช้งานฟีเจอร์การเข้าถึงหรือการดูแลระบบอุปกรณ์ และใช้ผลิตภัณฑ์รักษาความปลอดภัยมือถือที่เชื่อถือได้ซึ่งสามารถตรวจจับและกำจัดโทรจันและแอดแวร์ได้ ให้ความรู้แก่ผู้ใช้และพนักงานเกี่ยวกับกลยุทธ์ทางวิศวกรรมสังคมที่เอื้อต่อการโหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือและการให้สิทธิ์อนุญาต
สรุป — ถือว่า BankBot มีความเสี่ยงสูง
BankBot คือ Android RAT ที่ทรงพลังและมีคุณสมบัติครบครัน ผสานรวมการเข้าถึงข้อมูลที่ไม่ถูกต้อง การตรวจสอบสภาพแวดล้อม การกำหนดตารางงานอย่างต่อเนื่อง ระบบอัตโนมัติของ UI และการขโมยสินทรัพย์ธนาคารและคริปโตแบบเจาะจงเป้าหมาย เนื่องจาก BankBot มีความเสี่ยงที่จะเกิดความเสียหายทางการเงินและความเป็นส่วนตัวอย่างร้ายแรง การติดเชื้อใดๆ ที่ต้องสงสัยจึงควรได้รับการจัดการอย่างเร่งด่วน: กำจัดมัลแวร์ รักษาความปลอดภัยบัญชีจากอุปกรณ์ที่ปลอดภัย และดำเนินการป้องกันตามขั้นตอนข้างต้นเพื่อลดความเสี่ยงในอนาคต
