มัลแวร์มือถือ DroidBot
DroidBot ซึ่งเป็นภัยคุกคามระบบธนาคารบนระบบปฏิบัติการ Android ที่กำลังเป็นกระแสใหม่ กำลังสร้างกระแสโดยกำหนดเป้าหมายไปที่การแลกเปลี่ยนสกุลเงินดิจิทัลและแอปธนาคารในสหราชอาณาจักร อิตาลี ฝรั่งเศส สเปน และโปรตุเกส โดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบ DroidBot ในเดือนมิถุนายน 2024 โดยทำงานเป็นแพลตฟอร์ม Malware-as-a-Service (MaaS) โดยเสนอความสามารถที่เป็นอันตรายให้กับพันธมิตรด้วยราคาสูงถึง 3,000 ดอลลาร์ต่อเดือน
แม้ว่าจะขาดคุณสมบัติที่ก้าวล้ำ แต่การใช้งานและฟังก์ชันการใช้งานที่แพร่หลายของ DroidBot ก็ทำให้ DroidBot กลายเป็นปัญหาที่สำคัญ การวิเคราะห์บอตเน็ตตัวหนึ่งเผยให้เห็นการติดเชื้อที่ไม่ซ้ำใคร 776 รายการในประเทศต่างๆ ในยุโรป รวมถึงตุรกีและเยอรมนี นอกจากนี้ มัลแวร์ยังแสดงสัญญาณของการขยายตัวไปยังภูมิภาคใหม่ๆ เช่น ละตินอเมริกาอีกด้วย
สารบัญ
DroidBot MaaS ช่วยเสริมพลังให้กับอาชญากรไซเบอร์ได้อย่างไร
นักพัฒนาของ DroidBot ซึ่งเชื่อว่ามีฐานอยู่ในตุรกี ได้สร้างแพลตฟอร์ม MaaS ที่จะช่วยลดอุปสรรคสำหรับอาชญากรไซเบอร์ในการโจมตีที่ซับซ้อน พันธมิตรสามารถเข้าถึงชุดเครื่องมือที่ครอบคลุม ได้แก่:
- โปรแกรมสร้างมัลแวร์เพื่อปรับแต่งเพย์โหลดสำหรับเป้าหมายที่เฉพาะเจาะจง
- เซิร์ฟเวอร์คำสั่งและการควบคุม (C2) สำหรับการจัดการการดำเนินงาน
- แผงควบคุมการดูแลระบบส่วนกลางสำหรับการดึงข้อมูลที่รวบรวมมาและการออกคำสั่ง
นักวิจัยได้ระบุกลุ่มพันธมิตร 17 กลุ่มที่ใช้ DroidBot ซึ่งทั้งหมดทำงานบนโครงสร้างพื้นฐาน C2 ที่ใช้ร่วมกันโดยมีตัวระบุเฉพาะเพื่อติดตามกิจกรรม พันธมิตรได้รับเอกสาร การสนับสนุน และการอัปเดตเป็นประจำผ่านช่องทาง Telegram ซึ่งสร้างระบบที่ใช้ความพยายามน้อยแต่ให้ผลตอบแทนสูงสำหรับผู้โจมตี
การแอบซ่อนและการหลอกลวง: การปลอมตัวของ DroidBot
DroidBot มักแอบอ้างว่าเป็นแอปที่ถูกกฎหมาย เช่น Google Chrome, Google Play Store หรือแม้แต่บริการ Android Security เพื่อแทรกซึมเข้าไปในอุปกรณ์ของผู้ใช้ เมื่อติดตั้งแล้ว DroidBot จะทำงานเป็นโทรจัน โดยรวบรวมข้อมูลที่ละเอียดอ่อนจากแอปพลิเคชันเป้าหมาย
คุณสมบัติหลักช่วยให้ผู้โจมตีสามารถดำเนินกิจกรรมที่เป็นอันตรายได้ เช่น:
- Keylogging : จับภาพทุกคีย์สโตรกที่ป้อนบนอุปกรณ์ที่ติดไวรัส
- การโจมตีแบบโอเวอร์เลย์ : การแสดงหน้าจอเข้าสู่ระบบปลอมบนอินเทอร์เฟซแอปที่ถูกกฎหมายเพื่อรวบรวมข้อมูลประจำตัว
- การสกัดกั้นข้อความ SMS : แฮ็กข้อความ SMS โดยเฉพาะข้อความที่มี OTP สำหรับการเข้าสู่ระบบธนาคาร
การใช้ประโยชน์จากบริการการเข้าถึง
DroidBot พึ่งพา Accessibility Services ของ Android เป็นอย่างมาก ซึ่งเป็นฟีเจอร์ที่ออกแบบมาเพื่อช่วยให้ผู้ใช้ที่มีความทุพพลภาพในการติดตามการกระทำและการจำลองการปัดหรือแตะ การใช้ในทางที่ผิดนี้เน้นย้ำถึงความสำคัญของการตรวจสอบแอพที่ขอสิทธิ์ที่ผิดปกติระหว่างการติดตั้ง หากแอพขอการเข้าถึง Accessibility Services โดยไม่มีจุดประสงค์ที่ชัดเจน ผู้ใช้ควรปฏิเสธคำขอดังกล่าวทันทีและถอนการติดตั้งแอพหากจำเป็น
เป้าหมายที่มีมูลค่าสูง: การธนาคารและแอปพลิเคชัน Crypto
DroidBot ขยายขอบเขตการใช้งานไปถึง 77 แอปพลิเคชันสกุลเงินดิจิทัลและธนาคารที่มีชื่อเสียง โดยมีเป้าหมายที่น่าสนใจ ได้แก่:
- การแลกเปลี่ยนสกุลเงินดิจิทัล: Binance, KuCoin และ Kraken
- แอปพลิเคชันการธนาคาร: BBVA, Unicredit, Santander, BNP Paribas และ Credit Agricole
- กระเป๋าเงินดิจิทัล: Metamask
แอปพลิเคชันเหล่านี้มีข้อมูลทางการเงินที่ละเอียดอ่อนซึ่งทำให้กลายเป็นเป้าหมายหลักของอาชญากรทางไซเบอร์
วิธีการปกป้องตนเอง
การบรรเทาภัยคุกคามเช่น DroidBot ต้องใช้แนวทางเชิงรุก:
- ยึดติดกับแหล่งที่มาอย่างเป็นทางการ : ดาวน์โหลดเฉพาะแอพจาก Google Play Store เท่านั้น
- ตรวจสอบการอนุญาต : คอยระวังคำอนุญาตที่ผิดปกติ โดยเฉพาะคำอนุญาตที่เกี่ยวข้องกับบริการการเข้าถึง
- เปิดใช้งาน Play Protect : ตรวจสอบให้แน่ใจว่าคุณสมบัติความปลอดภัยนี้เปิดใช้งานอยู่ในอุปกรณ์ Android ของคุณ
การนำแนวทางปฏิบัติดังกล่าวไปใช้จะช่วยให้ผู้ใช้ลดความเสี่ยงต่อภัยคุกคาม เช่น DroidBot ได้อย่างมาก และสามารถควบคุมข้อมูลที่ละเอียดอ่อนของตนได้ ในขณะที่ DroidBot ยังคงพัฒนาและขยายขอบเขตการใช้งาน การคอยติดตามข้อมูลและระมัดระวังจึงเป็นสิ่งสำคัญในการป้องกันการหลอกลวง
