มัลแวร์ BeatBanker Banking Trojan

BeatBanker เป็นมัลแวร์ Android ที่ซับซ้อนซึ่งแพร่กระจายผ่านเว็บไซต์ปลอมที่ออกแบบมาเพื่อเลียนแบบ Google Play Store แคมเปญที่เป็นอันตรายนี้หลอกลวงผู้ใช้ให้ดาวน์โหลดแอปพลิเคชันที่ดูเหมือนถูกต้องตามกฎหมาย แต่แท้จริงแล้วเป็นมัลแวร์ประเภท Trojan ที่ใช้ในการโจรกรรมข้อมูลทางการเงิน พร้อมกับความสามารถในการขุดคริปโตเคอร์เรนซี เมื่อติดตั้งแล้ว มัลแวร์นี้สามารถยึดครองอุปกรณ์ที่ติดเชื้อ เปลี่ยนแปลงส่วนติดต่อผู้ใช้ และทำการธุรกรรมทางการเงินที่ไม่ได้รับอนุญาต การกำจัดทันทีเมื่อตรวจพบภัยคุกคามเป็นสิ่งสำคัญ เนื่องจากหากยังคงทำงานต่อไปอาจส่งผลให้เกิดความเสียหายทางการเงิน การละเมิดความเป็นส่วนตัว และการบุกรุกอุปกรณ์ในระยะยาว

การประมวลผลแบบไร้ไฟล์และเทคนิคต่อต้านการวิเคราะห์

เมื่อเริ่มทำงาน BeatBanker จะเริ่มต้นด้วยการรวบรวมข้อมูลเครือข่ายที่สำคัญ รวมถึงที่อยู่ IP ของอุปกรณ์ ประเภทของอุปกรณ์ สถานะการใช้งาน VPN และรายละเอียดการเชื่อมต่อที่เกี่ยวข้อง แทนที่จะจัดเก็บส่วนประกอบที่เป็นอันตรายเป็นไฟล์ในหน่วยความจำของอุปกรณ์ มัลแวร์จะโหลดโค้ดลงในหน่วยความจำโดยตรง เทคนิคการทำงานแบบไร้ไฟล์นี้ช่วยลดโอกาสในการตรวจจับโดยเครื่องมือรักษาความปลอดภัยมือถือแบบดั้งเดิมได้อย่างมาก

เพื่อหลีกเลี่ยงการวิเคราะห์เพิ่มเติม BeatBanker จะตรวจสอบว่ากำลังทำงานอยู่ในสภาพแวดล้อมการทดสอบหรือการวิจัย เช่น อีมูเลเตอร์หรือแซนด์บ็อกซ์หรือไม่ หากตรวจพบเงื่อนไขดังกล่าว มัลแวร์จะยุติการทำงานทันที กลไกการป้องกันนี้ช่วยป้องกันนักวิจัยด้านความปลอดภัยทางไซเบอร์และระบบอัตโนมัติจากการวิเคราะห์พฤติกรรมของมัน

การหลอกลวงทางสังคมผ่านหน้าเว็บ Google Play Store ปลอม

หลังจากผ่านการตรวจสอบสภาพแวดล้อมแล้ว BeatBanker จะแสดงอินเทอร์เฟซปลอมที่คล้ายกับหน้า Google Play Store ของแอปพลิเคชันที่มีชื่อว่า 'INSS Reembolso' โดยอ้างอย่างไม่ถูกต้องว่าจำเป็นต้องอัปเดตซอฟต์แวร์ เมื่อผู้ใช้เลือกตัวเลือก 'อัปเดต' มัลแวร์จะขออนุญาตติดตั้งแอปพลิเคชันและดาวน์โหลดส่วนประกอบที่เป็นอันตรายที่ซ่อนไว้

แทนที่จะใช้โครงสร้างพื้นฐานของ Google Play ที่ถูกต้อง มัลแวร์นี้จะติดตั้งส่วนประกอบเหล่านั้นโดยตรงโดยการใช้สิทธิ์การติดตั้งระดับสูงในทางที่ผิด เพื่อให้สามารถทำงานได้อย่างต่อเนื่อง มัลแวร์จะสร้างการแจ้งเตือนการอัปเดตระบบที่หลอกลวง และเรียกใช้บริการเบื้องหน้าที่จะเล่นสื่ออย่างเงียบ ๆ ป้องกันไม่ให้ระบบปฏิบัติการยุติกระบวนการที่เป็นอันตราย

การขุดคริปโตเคอร์เรนซีบนอุปกรณ์ของเหยื่อ

หนึ่งในส่วนประกอบที่ซ่อนอยู่ของ BeatBanker คือโปรแกรมขุดคริปโตเคอร์เรนซีที่ฝังอยู่ในไฟล์ที่ดาวน์โหลดมา ส่วนประกอบนี้เป็นเวอร์ชันดัดแปลงของ XMRig ที่ออกแบบมาเพื่อใช้ประโยชน์จากทรัพยากร CPU ของอุปกรณ์ที่ติดไวรัสในการขุดคริปโตเคอร์เรนซีในนามของผู้โจมตี

มัลแวร์นี้จัดการกิจกรรมการขุดอย่างชาญฉลาดโดยการตรวจสอบพารามิเตอร์ของระบบ เช่น ระดับแบตเตอรี่ อุณหภูมิของอุปกรณ์ และกิจกรรมของผู้ใช้ โดยอิงจากเงื่อนไขเหล่านี้ โปรแกรมขุดสามารถเริ่มหรือหยุดการทำงานโดยอัตโนมัติเพื่อลดความสงสัยและยืดระยะเวลาการติดเชื้อ

มัลแวร์ประเภทโทรจันสำหรับธนาคารและกลไกการขโมยคริปโตเคอร์เรนซี

นอกเหนือจากความสามารถในการขุดคริปโตเคอร์เรนซีแล้ว BeatBanker ยังติดตั้งมัลแวร์ประเภทโทรจันที่พยายามเข้าถึงระบบธนาคาร โดยการให้สิทธิ์การเข้าถึงจะทำให้ผู้โจมตีสามารถควบคุมอินเทอร์เฟซของอุปกรณ์และตรวจสอบการโต้ตอบของผู้ใช้ได้

มัลแวร์นี้จะติดตามแอปพลิเคชันที่ถูกเปิดใช้งานอย่างต่อเนื่อง และมุ่งเป้าไปที่แพลตฟอร์มคริปโตเคอร์เรนซีโดยเฉพาะ เช่น Binance และ Trust Wallet โดยเฉพาะอย่างยิ่งการทำธุรกรรม USDT เมื่อเหยื่อเริ่มทำการโอนเงิน BeatBanker จะซ้อนทับหน้าจอการทำธุรกรรมที่ถูกต้องด้วยหน้าจอปลอม ในระหว่างกระบวนการนี้ มัลแวร์จะทำการแทนที่ที่อยู่ผู้รับที่ตั้งใจไว้ด้วยที่อยู่ของผู้โจมตีโดยที่เหยื่อไม่รู้ตัว ทำให้เงินถูกโอนไปยังที่อื่นโดยที่เหยื่อไม่รู้ตัว

โมดูลการธนาคารยังประเมินการมีอยู่ของเบราว์เซอร์มือถือที่ใช้กันทั่วไปหลายตัวและรวบรวมข้อมูลการท่องเว็บ นอกจากนี้ยังสามารถจัดการลิงก์ที่บันทึกไว้ในเบราว์เซอร์เริ่มต้นได้โดยการเพิ่ม แก้ไข ลบ หรือแสดงรายการ และสามารถเปิด URL ที่ผู้โจมตีป้อนเข้ามาได้

ความสามารถในการสั่งการและควบคุม และการจัดการอุปกรณ์

BeatBanker สื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) ทำให้ผู้โจมตีสามารถจัดการอุปกรณ์ที่ติดมัลแวร์จากระยะไกลและออกคำสั่งได้ ผ่านโครงสร้างพื้นฐานนี้ มัลแวร์สามารถดำเนินการต่างๆ ที่เป็นอันตรายได้มากมาย รวมถึงการแสดงการอัปเดตระบบปลอม การล็อกหน้าจออุปกรณ์ การดึงข้อมูลในคลิปบอร์ด และการส่งไฟล์บันทึกเสียงไปยังผู้คุกคาม

ความสามารถเพิ่มเติมได้แก่ การส่งข้อความ SMS การเปิดลิงก์ที่ผู้โจมตีควบคุมในเบราว์เซอร์ การอัปเดตข้อมูลประจำตัวที่บันทึกไว้ และการแสดงรายการไฟล์ที่จัดเก็บไว้ในอุปกรณ์ มัลแวร์ยังสามารถดำเนินการทำลายล้าง เช่น การลบไฟล์ การรีเซ็ตเป็นค่าเริ่มต้นจากโรงงาน หรือการถอนการติดตั้งตัวเองเพื่อลบร่องรอยหลังจากการดำเนินการเสร็จสิ้น

คุณสมบัติการเฝ้าระวังและการกรองข้อมูล

นอกเหนือจากการโจรกรรมทางการเงินแล้ว BeatBanker ยังทำหน้าที่เป็นเครื่องมือสอดแนมที่ครอบคลุม มันสามารถบันทึกการกดแป้นพิมพ์ ดึงข้อความที่แสดงบนหน้าจอ จับภาพหน้าจอ และสตรีมหน้าจอของอุปกรณ์แบบเรียลไทม์ การตรวจสอบแอปพลิเคชันที่กำลังทำงานอยู่อย่างต่อเนื่องทำให้ผู้โจมตีสามารถสังเกตพฤติกรรมของผู้ใช้และรวบรวมข้อมูลที่ละเอียดอ่อนได้

มัลแวร์นี้ยังมีกลไกควบคุมอุปกรณ์เพิ่มเติมอีกหลายอย่าง เช่น การตรวจสอบแอปพลิเคชัน ไฟร์วอลล์ในตัวที่สามารถบล็อกหรืออนุญาตแอปที่เลือกได้ การสร้างการแจ้งเตือนอย่างต่อเนื่อง และความสามารถในการจัดการการเชื่อมต่อ VPN

การละเมิดสิทธิ์และกลไกการคงอยู่ของสิทธิ์

BeatBanker อาศัยสิทธิ์การเข้าถึงระบบ Android ที่มีความเสี่ยงสูง ซึ่งช่วยให้มันควบคุมอุปกรณ์ได้อย่างมาก สิทธิ์เหล่านี้ทำให้มัลแวร์สามารถทำงานได้อย่างต่อเนื่อง ดำเนินการอัตโนมัติ และสั่งการโดยที่ผู้ใช้ไม่รู้ตัว

ความสามารถหลักที่เปิดใช้งานโดยสิทธิ์เหล่านี้ ได้แก่:

• การเข้าถึงเพื่ออำนวยความสะดวกในการแตะ การปัด และการจัดการอินเทอร์เฟซโดยอัตโนมัติ
• การอนุญาตแบบซ้อนทับที่ทำให้หน้าจอปลอมปรากฏทับแอปพลิเคชันที่ถูกต้อง
• อนุญาตให้ติดตั้งแอปพลิเคชันจากแหล่งที่ไม่รู้จัก ซึ่งจะทำให้สามารถติดตั้งส่วนประกอบที่เป็นอันตรายเพิ่มเติมโดยไม่แจ้งให้ทราบล่วงหน้า
• ความสามารถในการเปิดลิงก์ เรียกใช้รหัส USSD และติดตั้งแพ็กเกจมัลแวร์เพิ่มเติม

สิทธิ์เหล่านี้จะเปลี่ยนอุปกรณ์ที่ติดไวรัสให้กลายเป็นแพลตฟอร์มที่ควบคุมจากระยะไกลได้ ซึ่งสามารถดำเนินการโจมตีที่ซับซ้อนได้

มัลแวร์รูปแบบใหม่ที่ปลอมตัวเป็นแอปพลิเคชัน StarLink

นักวิจัยด้านความปลอดภัยได้ค้นพบ BeatBanker เวอร์ชันใหม่ที่ปลอมตัวเป็นแอปพลิเคชัน StarLink ปลอมที่มุ่งเป้าไปที่ผู้ใช้ Android แตกต่างจากเวอร์ชันก่อนหน้า เวอร์ชันนี้ไม่ได้ติดตั้งส่วนประกอบโทรจันสำหรับโจรกรรมข้อมูลทางการเงินแบบดั้งเดิม

แต่แทนที่จะเป็นเช่นนั้น มันกลับใช้โทรจันควบคุมระยะไกล (RAT) ชื่อ BTMOB ซึ่งให้สิทธิ์ผู้โจมตีในการเข้าถึงอุปกรณ์ที่ถูกบุกรุกจากระยะไกลได้อย่างสมบูรณ์ และมีการแจกจ่ายในรูปแบบ Malware-as-a-Service (MaaS) ทำให้เหล่าอาชญากรไซเบอร์สามารถซื้อและใช้งานเครื่องมือนี้ได้โดยไม่ต้องพัฒนาโครงสร้างพื้นฐานมัลแวร์ของตนเอง

ปัจจัยเสี่ยงต่อการติดเชื้อและผลกระทบต่อการปฏิบัติงาน

โดยทั่วไปแล้ว การติดไวรัส BeatBanker มักเริ่มต้นด้วยการหลอกลวงแบบฟิชชิ่งที่ล่อลวงเหยื่อไปยังเว็บไซต์ปลอมที่ออกแบบมาให้คล้ายกับ Google Play Store อย่างเป็นทางการ ผู้ใช้จะถูกชักจูงให้ดาวน์โหลดแอปพลิเคชันที่เป็นอันตรายซึ่งแอบอ้างเป็นบริการที่เกี่ยวข้องกับรัฐบาล เช่น 'INSS Reembolso' หรือแอปพลิเคชันยูทิลิตี้ปลอมที่คล้ายกัน

อุปกรณ์จะตกอยู่ในความเสี่ยงเมื่อเหยื่อติดตั้งแอปพลิเคชันปลอม หลังจากเปิดใช้งาน BeatBanker จะดึงส่วนประกอบเพิ่มเติม รวมถึงโปรแกรมขุดคริปโตเคอร์เรนซี และเข้าถึงอุปกรณ์ได้อย่างถาวร

ความสามารถโดยรวมของมัลแวร์นี้ทำให้ผู้โจมตีสามารถขุดคริปโตเคอร์เรนซี ขโมยข้อมูลทางการเงิน บิดเบือนธุรกรรม และควบคุมอุปกรณ์ที่ติดไวรัสจากระยะไกลได้ บางเวอร์ชันยังมีการติดตั้งมัลแวร์เพิ่มเติม เช่น BTMOB ซึ่งทำให้ผู้โจมตีสามารถเข้าถึงระบบที่ถูกบุกรุกได้อย่างต่อเนื่องและไม่จำกัด