Datzbro Banking Trojan
นักวิจัยด้านความปลอดภัยไซเบอร์เพิ่งค้นพบโทรจันธนาคารบนระบบปฏิบัติการแอนดรอยด์ที่ยังไม่มีการบันทึกข้อมูลมาก่อนชื่อ Datzbro ซึ่งออกแบบมาเพื่อโจมตีอุปกรณ์ (DTO) และทำธุรกรรมทางการเงินฉ้อโกง มัลแวร์นี้มุ่งเป้าไปที่ผู้ใช้สูงอายุเป็นหลัก โดยใช้ประโยชน์จากความไว้วางใจของพวกเขาผ่านแคมเปญทางวิศวกรรมสังคมบนโซเชียลมีเดีย
สารบัญ
วิศวกรรมสังคมผ่านกลุ่ม Facebook
แคมเปญนี้ถูกตรวจพบครั้งแรกในเดือนสิงหาคม 2568 หลังจากมีรายงานจากผู้ใช้ชาวออสเตรเลีย ผู้ก่อภัยคุกคามได้จัดการกลุ่มเฟซบุ๊กที่โปรโมต 'การเดินทางของผู้สูงอายุแบบแอคทีฟ' โดยมุ่งเป้าไปที่ผู้สูงอายุที่สนใจกิจกรรมทางสังคม งานอีเวนต์ และการพบปะสังสรรค์แบบพบปะกัน ภูมิภาคอื่นๆ ที่ได้รับผลกระทบ ได้แก่ สิงคโปร์ มาเลเซีย แคนาดา แอฟริกาใต้ และสหราชอาณาจักร
กลุ่มเฟซบุ๊กเหล่านี้มักแชร์เนื้อหาที่สร้างโดย AI โดยอ้างว่าจัดกิจกรรมสำหรับผู้สูงอายุ หากเป้าหมายแสดงความสนใจ ผู้โจมตีจะติดต่อพวกเขาผ่าน Facebook Messenger หรือ WhatsApp และแจ้งให้พวกเขาดาวน์โหลดไฟล์ APK จากลิงก์หลอกลวง (เช่น download.seniorgroupapps.com)
เว็บไซต์ปลอมเหล่านี้โปรโมตสิ่งที่เรียกว่าแอปพลิเคชันชุมชน โดยอ้างว่าจะช่วยให้ผู้สูงอายุสามารถ:
- ลงทะเบียนเข้าร่วมกิจกรรมและกิจกรรม
- เชื่อมต่อกับสมาชิกกลุ่มอื่น ๆ
- ติดตามกำหนดการที่กำลังจะมีขึ้น
บางเว็บไซต์ยังมีลิงก์ตัวแทนสำหรับแอป iOS ซึ่งบ่งชี้ว่าผู้โจมตีมุ่งเป้าไปที่ผู้ใช้ทั้ง Android และ iOS โดยแจกจ่ายแอป TestFlight สำหรับ iOS เพื่อพยายามหลอกลวงเหยื่อ
Datzbro ติดเชื้ออุปกรณ์ได้อย่างไร
เมื่อเหยื่อดาวน์โหลดแอป Android จะทำดังนี้:
- ติดตั้งมัลแวร์โดยตรงบนอุปกรณ์หรือ
- ปรับใช้ดรอปเปอร์ที่สร้างด้วย Zombinder ซึ่งเป็นบริการผูก APK ที่หลีกเลี่ยงข้อจำกัดด้านความปลอดภัยบน Android 13 และเวอร์ชันใหม่กว่า
มีการระบุแอปที่เป็นอันตรายหลายตัวที่เผยแพร่ Datzbro รวมถึง:
- กลุ่มอาวุโส (twzlibwr.rlrkvsdw.bcfwgozi)
- ไลฟ์ลี่ เยียร์ส (orgLivelyYears.browses646)
- แอคทีฟซีเนียร์ (com.forest481.security)
- DanceWave (inedpnok.kfxuvnie.mggfqzhl)
ความสามารถและภัยคุกคามทางการเงิน
Datzbro มีฟังก์ชันป้องกันสปายแวร์และการฉ้อโกงทางการเงินมากมาย รวมถึง:
- การบันทึกเสียงและการถ่ายภาพ
- การเข้าถึงไฟล์และภาพถ่าย
- ดำเนินการโจมตีแบบโอเวอร์เลย์ การบันทึกคีย์ และการควบคุมอุปกรณ์ระยะไกล
- การใช้บริการการเข้าถึงของ Android เพื่อดำเนินการอัตโนมัติในนามของเหยื่อ
คุณสมบัติที่โดดเด่นคือโหมดควบคุมระยะไกลแบบแผนผัง ซึ่งจะส่งข้อมูลรายละเอียดเกี่ยวกับองค์ประกอบทั้งหมดบนหน้าจอ ตำแหน่ง และเนื้อหาไปยังผู้โจมตี ซึ่งช่วยให้ผู้โจมตีสามารถจำลองอินเทอร์เฟซและควบคุมอุปกรณ์จากระยะไกลได้อย่างสมบูรณ์
นอกจากนี้ Datzbro ยังสามารถ:
- แสดงโอเวอร์เลย์แบบกึ่งโปร่งใสพร้อมข้อความที่กำหนดเองเพื่อซ่อนกิจกรรมที่เป็นอันตราย
- ขโมยรหัส PIN และรหัสผ่านล็อคหน้าจออุปกรณ์สำหรับ Alipay และ WeChat
- สแกนบันทึกเหตุการณ์การเข้าถึงสำหรับแอปธนาคารหรือกระเป๋าเงินสกุลเงินดิจิทัลและดึงข้อมูลประจำตัว
ฟังก์ชันเหล่านี้เน้นย้ำถึงการที่มัลแวร์มุ่งเน้นไปที่ผลกำไรทางการเงิน โดยเปลี่ยนสิ่งที่เริ่มต้นจากสปายแวร์ให้กลายเป็นภัยคุกคามที่ซับซ้อนในการขโมยข้อมูลธนาคารที่ละเอียดอ่อน
โครงสร้างพื้นฐานด้านการระบุคุณลักษณะและการสั่งการและการควบคุม
การวิเคราะห์ชี้ให้เห็นว่า Datzbro เชื่อมโยงกับกลุ่มภัยคุกคามที่ใช้ภาษาจีน ดังจะเห็นได้จากสตริงการดีบักและการบันทึกข้อมูลภาษาจีนในซอร์สโค้ดของมัลแวร์ ต่างจากมัลแวร์ตระกูลอื่นๆ ที่ใช้แผงควบคุม C2 บนเว็บ Datzbro เชื่อมต่อกับแอปพลิเคชันเดสก์ท็อปภาษาจีนสำหรับการดำเนินการสั่งการและควบคุม
แอป C2 เวอร์ชันที่รวบรวมไว้ได้รั่วไหลไปยังที่เก็บไวรัสสาธารณะ ซึ่งบ่งชี้ว่ามัลแวร์ดังกล่าวอาจแพร่กระจายได้อย่างอิสระในหมู่ผู้ก่ออาชญากรรมทางไซเบอร์ ส่งผลให้มีแนวโน้มแพร่กระจายได้กว้างขึ้น
ผลกระทบต่อความปลอดภัยบนมือถือ
การค้นพบ Datzbro แสดงให้เห็นถึงวิวัฒนาการของภัยคุกคามบนมือถือ โดยเฉพาะอย่างยิ่งภัยคุกคามที่ใช้ประโยชน์จากกลวิธีทางสังคมเพื่อโจมตีกลุ่มประชากรที่มีความเสี่ยง การมุ่งเน้นไปที่ผู้สูงอายุและใช้ประโยชน์จากเหตุการณ์บน Facebook ที่ดูเหมือนไม่ร้ายแรง อาจทำให้ผู้โจมตีสามารถยกระดับปฏิสัมพันธ์ทางสังคมง่ายๆ ไปสู่การยึดครองอุปกรณ์ การขโมยข้อมูลประจำตัว และการฉ้อโกงทางการเงิน
แคมเปญนี้เน้นย้ำถึงความสำคัญของการเฝ้าระวังความปลอดภัยบนมือถือ โดยเฉพาะกับผู้ใช้สูงอายุที่อาจตกเป็นเป้าหมายผ่านทางเครือข่ายโซเชียลที่เน้นความน่าเชื่อถือ
