มัลแวร์มือถือ Godfather
เวอร์ชันใหม่ของมัลแวร์ชื่อดังอย่าง Godfather บนระบบปฏิบัติการ Android กำลังสร้างกระแสในโลกไซเบอร์ ด้วยการใช้สภาพแวดล้อมเสมือนจริงที่แยกจากกันบนอุปกรณ์ที่ติดไวรัส มัลแวร์ที่แอบซ่อนอยู่นี้จึงสามารถสอดส่อง ขโมยข้อมูลประจำตัว และฉ้อโกงทางการเงินได้แบบเรียลไทม์ โดยยังคงซ่อนตัวอยู่ภายใต้หน้ากากของแอปธนาคารที่ถูกกฎหมาย
สารบัญ
โลกเสมือนจริงเพื่อการโจรกรรมที่แท้จริง
มัลแวร์ Godfather ที่ได้รับการอัปเกรดใช้กรอบงานเสมือนจริงที่ฝังอยู่ในไฟล์ APK ที่ดูเหมือนไม่เป็นอันตราย เมื่อติดตั้งแล้ว จะตรวจสอบการมีอยู่ของแอปเป้าหมายที่มีศักยภาพมากกว่า 500 แอป รวมถึงแพลตฟอร์มธนาคาร สกุลเงินดิจิทัล และอีคอมเมิร์ซ และย้ายแอปเหล่านี้ไปยังสภาพแวดล้อมเสมือนจริง การตั้งค่านี้เลียนแบบกลวิธีที่ FjordPhantom ใช้ในปี 2023 แต่มีขอบเขตและความซับซ้อนมากกว่านั้นมาก
ต่างจากมัลแวร์ Android ทั่วไป Godfather ใช้ประโยชน์จากการจำลองเสมือนเพื่อรันแอปเป้าหมายภายในคอนเทนเนอร์ที่ควบคุมได้ ทำให้สามารถ:
- การขโมยข้อมูลประจำตัวแบบเรียลไทม์และการสกัดกั้นการตอบสนองของแบ็คเอนด์
- การเลียนแบบภาพแบบไร้รอยต่อของแอปที่ถูกกฎหมาย
- การหลีกเลี่ยงกลไกการรักษาความปลอดภัยในตัวของ Android
การเข้าควบคุมที่มองไม่เห็นผ่าน StubActivity
ส่วนสำคัญของการหลอกลวงนี้คือการใช้ StubActivity ซึ่งเป็นตัวแทนภายในมัลแวร์ที่เปิดใช้งานแอปเสมือนจริงโดยไม่เปิดเผย UI หรือตรรกะจริงของตัวเอง เมื่อเหยื่อพยายามเข้าถึงแอปธนาคารที่ถูกต้อง Godfather จะสกัดกั้นการดำเนินการโดยใช้สิทธิ์บริการการเข้าถึงและเปลี่ยนเส้นทางไปยังคอนเทนเนอร์เสมือนจริง โดยแสดงอินเทอร์เฟซแอปจริงในขณะที่ได้รับการควบคุมการโต้ตอบของผู้ใช้ทั้งหมด
กลอุบายนี้หลอก Android ให้คิดว่ากำลังรันแอปพลิเคชันที่ปลอดภัยในขณะที่การกระทำที่ละเอียดอ่อนทั้งหมด ตั้งแต่การพิมพ์ PIN ไปจนถึงการยืนยันธุรกรรม จะถูกตรวจสอบและควบคุม
ใต้ฝากระโปรง: เครื่องมือและเทคนิค
เพื่อบรรลุการดำเนินการที่ซับซ้อน Godfather อาศัยการผสมผสานเทคโนโลยีโอเพ่นซอร์สและวิศวกรรมอันชาญฉลาด:
เครื่องมือ VirtualApp ขับเคลื่อนการสร้างคอนเทนเนอร์ที่แยกออกจากกัน
Xposed Framework เชื่อมต่อกับ Android API เพื่อบันทึกอินพุตและการตอบกลับ
การปลอมแปลงเจตนา – แย่งคำสั่งที่ตั้งใจใช้กับแอปที่ถูกกฎหมายและเปลี่ยนเส้นทางของพวกมัน
ID ระบบไฟล์เสมือนและกระบวนการ – รองรับการจำลองสภาพแวดล้อมที่ราบรื่น
ในช่วงเวลาสำคัญ มัลแวร์จะซ้อนทับหน้าจอล็อคปลอมหรือหน้าจออัปเดตเพื่อแจ้งให้ผู้ใช้ป้อนข้อมูลประจำตัวที่ละเอียดอ่อน จากนั้นข้อมูลดังกล่าวจะถูกส่งต่อให้กับผู้โจมตี
มองย้อนกลับไป: วิวัฒนาการของ Godfather
Godfather ปรากฏตัวครั้งแรกในเดือนมีนาคม 2021 และได้รับการพัฒนามาอย่างต่อเนื่องตั้งแต่นั้นเป็นต้นมา ในเวอร์ชันเดือนธันวาคม 2022 มัลแวร์ได้กำหนดเป้าหมายแอป 400 แอปใน 16 ประเทศโดยใช้การโจมตีแบบ HTML overlay อย่างไรก็ตาม เวอร์ชันปัจจุบันใช้การจำลองเสมือนเต็มรูปแบบ ทำให้ขยายการเข้าถึงแอปได้มากกว่า 500 แอปทั่วโลก แม้ว่าแคมเปญล่าสุดดูเหมือนจะมุ่งเน้นไปที่ธนาคารตุรกีจำนวน 12 แห่ง แต่โครงสร้างพื้นฐานก็พร้อมแล้วที่จะปรับเปลี่ยนไปทั่วโลก
วิธีการปกป้องตนเอง
เพื่อลดความเสี่ยงจากการตกเป็นเหยื่อของภัยคุกคามขั้นสูงเช่น Godfather ผู้ใช้ควรปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยทางไซเบอร์ต่อไปนี้:
- ดาวน์โหลดอย่างปลอดภัย
- ติดตั้งแอปจาก Google Play หรือแหล่งที่เชื่อถือได้เท่านั้น
- หลีกเลี่ยงการโหลด APK นอกเสียจากว่าผู้เผยแพร่จะมีชื่อเสียงและได้รับการตรวจสอบแล้ว
- ฝึกการใช้แอพอย่างระมัดระวัง
- เปิดใช้งาน Google Play Protect ไว้
- ตรวจสอบการอนุญาตของแอป โดยเฉพาะคำขอใช้บริการการเข้าถึง
- ระวังหน้าจอล็อคหรือการแจ้งอัปเดตที่ไม่คาดคิด
Godfather เวอร์ชันล่าสุดเป็นสัญญาณของการเปลี่ยนแปลงไปสู่ภัยคุกคามบนอุปกรณ์พกพาที่ซับซ้อนยิ่งขึ้น ซึ่งทำให้เส้นแบ่งระหว่างกิจกรรมที่เป็นอันตรายและพฤติกรรมแอปที่ถูกต้องเลือนลางลง การคอยติดตามข้อมูลและระมัดระวังเป็นแนวป้องกันด่านแรก
