Klopatra Banking Trojan

Klopatra ซึ่งเป็นโทรจันธนาคารบนระบบปฏิบัติการแอนดรอยด์ที่ไม่มีใครรู้จักมาก่อน ได้โจมตีอุปกรณ์ไปแล้วกว่า 3,000 เครื่อง โดยสเปนและอิตาลีได้รับผลกระทบหนักที่สุด นักวิจัยด้านความปลอดภัยสารสนเทศค้นพบมัลแวร์ที่ซับซ้อนนี้เมื่อปลายเดือนสิงหาคม 2568 โดยผสมผสานความสามารถของโทรจันเข้าถึงระยะไกล (RAT) เข้ากับเทคนิคการหลบเลี่ยงขั้นสูง โดยกำหนดเป้าหมายโจมตีข้อมูลทางการเงินและเปิดทางให้สามารถกระทำธุรกรรมฉ้อโกงได้

เทคนิคการโจมตีที่ซับซ้อนและการควบคุมระยะไกล

Klopatra ใช้ประโยชน์จาก Hidden Virtual Network Computing (VNC) เพื่อควบคุมอุปกรณ์ที่ติดไวรัสจากระยะไกล โดยใช้การซ้อนทับแบบไดนามิกเพื่อขโมยข้อมูลประจำตัวและดำเนินการธุรกรรมที่ไม่ได้รับอนุญาต ซึ่งแตกต่างจากมัลแวร์บนมือถือทั่วไป Klopatra ได้ผสานรวมไลบรารีแบบเนทีฟและชุดป้องกันโค้ด Virbox ระดับเชิงพาณิชย์ ทำให้การตรวจจับและวิเคราะห์ทำได้ยากอย่างยิ่ง

การวิเคราะห์โครงสร้างพื้นฐาน Command-and-Control (C2) และเบาะแสทางภาษาของมัลแวร์ บ่งชี้ว่ากลุ่มอาชญากรที่พูดภาษาตุรกีใช้งาน Klopatra ในฐานะบอตเน็ตส่วนตัว แทนที่จะนำเสนอเป็นมัลแวร์แบบบริการสาธารณะ (MaaS) นับตั้งแต่เดือนมีนาคม พ.ศ. 2568 มีการระบุรุ่นของโทรจันนี้ที่แตกต่างกัน 40 รุ่น

เหยื่อถูกหลอกล่ออย่างไร

โคลปาตราแพร่กระจายผ่านกลวิธีทางวิศวกรรมสังคม หลอกผู้ใช้ให้ติดตั้งแอปดรอปเปอร์ที่ปลอมตัวเป็นเครื่องมือที่ไม่เป็นอันตราย เช่น แอปพลิเคชันสตรีมมิ่ง IPTV แอปเหล่านี้ฉวยโอกาสจากความเต็มใจของผู้ใช้ในการติดตั้งซอฟต์แวร์ละเมิดลิขสิทธิ์จากแหล่งที่ไม่น่าเชื่อถือ

เมื่อติดตั้งแล้ว ดรอปเปอร์จะขออนุญาตติดตั้งแพ็กเกจจากแหล่งที่ไม่รู้จัก จากนั้นจะดึงเพย์โหลดหลักของ Klopatra ออกมาจาก JSON Packer ที่ฝังไว้ นอกจากนี้ มัลแวร์ยังร้องขอบริการการเข้าถึง Android ซึ่งแม้จะออกแบบมาเพื่อช่วยเหลือผู้ใช้ที่มีความพิการ แต่ก็สามารถนำไปใช้ในทางที่ผิดได้ดังนี้

• อ่านเนื้อหาบนหน้าจอ
• บันทึกการกดแป้นพิมพ์
• ดำเนินการอย่างอัตโนมัติ

ซึ่งจะทำให้ผู้โจมตีสามารถดำเนินการฉ้อโกงทางการเงินได้โดยที่เหยื่อไม่รู้ตัว

สถาปัตยกรรมขั้นสูงสำหรับการซ่อนตัวและความยืดหยุ่น

Klopatra โดดเด่นด้วยการออกแบบที่ล้ำหน้าและยืดหยุ่น:

• การรวม Virbox ช่วยปกป้องมัลแวร์จากการวิเคราะห์
• ฟังก์ชันหลักถูกเปลี่ยนจาก Java ไปสู่ไลบรารีเนทีฟเพื่อเพิ่มความลับมากขึ้น
• การเข้ารหัสโค้ดที่ซับซ้อน การป้องกันการดีบัก และการตรวจสอบความสมบูรณ์ของรันไทม์ขัดขวางการตรวจจับ

• ผู้ปฏิบัติงานได้รับการควบคุมแบบละเอียดแบบเรียลไทม์ผ่าน VNC รวมถึงความสามารถในการ:

• ใช้หน้าจอสีดำซ้อนทับเพื่อซ่อนกิจกรรมที่เป็นอันตราย

• ดำเนินธุรกรรมการธนาคารอย่างเป็นความลับ

• ส่งมอบหน้าจอเข้าสู่ระบบปลอมแบบไดนามิกไปยังแอปทางการเงินและสกุลเงินดิจิทัลที่เป็นเป้าหมาย

มัลแวร์ยังปิดการใช้งานซอฟต์แวร์ป้องกันไวรัสที่ติดตั้งไว้ล่วงหน้า และสามารถยกระดับสิทธิ์โดยใช้บริการการเข้าถึงเพื่อป้องกันการยุติการใช้งาน

การดำเนินการฉ้อโกงและการกำหนดจังหวะเชิงกลยุทธ์

ผู้ปฏิบัติการของ Klopatra ปฏิบัติตามลำดับการโจมตีที่จัดเตรียมอย่างระมัดระวัง:

• ตรวจสอบว่าอุปกรณ์กำลังชาร์จอยู่ หน้าจอปิดอยู่ และอุปกรณ์อยู่ในโหมดไม่ได้ใช้งาน
• ลดความสว่างหน้าจอลงเป็นศูนย์และแสดงภาพซ้อนสีดำ
• ใช้ PIN หรือรูปแบบที่ถูกขโมยเพื่อเข้าถึงแอปธนาคาร
• ดำเนินการโอนเงินผ่านธนาคารหลายรายการทันทีโดยไม่ถูกตรวจพบ

กลยุทธ์ในเวลากลางคืนนี้ช่วยให้มั่นใจได้ว่าอุปกรณ์ต่างๆ ยังคงเปิดอยู่และไม่มีใครดูแล ช่วยให้ผู้โจมตีมีช่วงเวลาที่เหมาะสำหรับการดำเนินการในขณะที่เหยื่อกำลังนอนหลับ

ผลกระทบต่อภาคการเงิน

แม้ว่า Klopatra จะไม่ได้คิดค้นมัลแวร์บนมือถือขึ้นมาใหม่ แต่มันก็แสดงให้เห็นถึงความซับซ้อนของภัยคุกคามที่เพิ่มขึ้นอย่างมีนัยสำคัญ การนำระบบป้องกันระดับเชิงพาณิชย์และกลยุทธ์การซ่อนตัวมาใช้ ช่วยให้ผู้ประกอบการสามารถเพิ่มผลกำไรและยืดอายุการใช้งานของการดำเนินงานได้สูงสุด

Google ยืนยันว่าไม่พบแอปที่ติดไวรัสบน Google Play แต่การที่มัลแวร์พึ่งพาช่องทางการเผยแพร่แอปของบุคคลที่สามและแอปละเมิดลิขสิทธิ์นั้นตอกย้ำถึงความเสี่ยงที่เกิดขึ้นกับผู้ใช้มือถือ