มัลแวร์มือถือขนาดใหญ่

นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์โทรจันสำหรับระบบแอนดรอยด์ที่มีความซับซ้อนชื่อว่า Massiv ซึ่งถูกออกแบบมาเพื่อโจมตีโดยการเข้าควบคุมอุปกรณ์ (DTO) และขโมยข้อมูลทางการเงิน มัลแวร์นี้ปลอมตัวเป็นแอปพลิเคชัน IPTV ที่ถูกต้องตามกฎหมาย โดยมุ่งเป้าไปที่บุคคลที่กำลังค้นหาบริการโทรทัศน์ออนไลน์

แม้ว่าจะตรวจพบในแคมเปญโจมตีเฉพาะกลุ่มจำนวนจำกัด แต่ระดับภัยคุกคามนั้นสูงมาก เมื่อติดตั้งแล้ว Massiv จะทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ถูกบุกรุกจากระยะไกล ทำธุรกรรมฉ้อโกง และใช้ประโยชน์จากบัญชีธนาคารบนมือถือของเหยื่อได้โดยตรง

มัลแวร์ดังกล่าวถูกตรวจพบครั้งแรกในแคมเปญที่มุ่งเป้าไปที่ผู้ใช้ในโปรตุเกสและกรีซเมื่อต้นปีนี้ อย่างไรก็ตาม การวิเคราะห์ทางนิติวิทยาศาสตร์ได้ติดตามร่องรอยของตัวอย่างมัลแวร์ย้อนกลับไปถึงต้นปี 2025 ซึ่งบ่งชี้ว่ามีการทดสอบในวงจำกัดมาก่อนหน้านี้

การเก็บรวบรวมและจัดการข้อมูลประจำตัวขั้นสูง

Massiv ผสานรวมความสามารถต่างๆ ที่พบได้ทั่วไปในมัลแวร์ธนาคารขั้นสูงสำหรับ Android มันอำนวยความสะดวกในการขโมยข้อมูลประจำตัวผ่านเทคนิคหลายอย่าง รวมถึงการสตรีมหน้าจอผ่าน API MediaProjection ของ Android การบันทึกการกดแป้นพิมพ์ การดักฟังข้อความ SMS และการวางซ้อนหน้าจอหลอกลวงบนแอปพลิเคชันธนาคารและการเงินที่ถูกต้อง โอเวอร์เลย์เหล่านี้จะแจ้งให้ผู้ใช้ป้อนข้อมูลประจำตัวในการเข้าสู่ระบบและข้อมูลบัตรเครดิต

แคมเปญโจมตีที่โดดเด่นแคมเปญหนึ่งมุ่งเป้าไปที่ gov.pt ซึ่งเป็นแอปพลิเคชันของรัฐบาลโปรตุเกสที่ใช้ในการจัดเก็บเอกสารประจำตัวและจัดการรหัสโทรศัพท์มือถือดิจิทัล (Chave Móvel Digital หรือ CMD) มัลแวร์ที่แทรกแซงจะปลอมตัวเป็นอินเทอร์เฟซอย่างเป็นทางการและขอหมายเลขโทรศัพท์และรหัส PIN จากผู้ใช้ ซึ่งน่าจะเป็นการหลีกเลี่ยงกระบวนการตรวจสอบตัวตนลูกค้า (KYC)

จากการสืบสวนยังพบกรณีที่ข้อมูลที่ถูกขโมยถูกนำไปใช้เปิดบัญชีธนาคารใหม่ในชื่อของเหยื่อ บัญชีปลอมเหล่านี้ถูกนำไปใช้ในการฟอกเงินหรือขอสินเชื่อโดยไม่ได้รับอนุญาต โดยที่เหยื่อไม่รู้ตัวเลย

ความสามารถในการควบคุมระยะไกลและการหลีกเลี่ยงการจับภาพหน้าจอ

นอกเหนือจากการขโมยข้อมูลประจำตัวแล้ว Massiv ยังทำงานเป็นเครื่องมือเข้าถึงระยะไกลที่ใช้งานได้อย่างเต็มรูปแบบ มันช่วยให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ติดไวรัสได้อย่างลับๆ ในขณะที่แสดงหน้าจอสีดำทับซ้อนเพื่อปกปิดกิจกรรมที่เป็นอันตราย เทคนิคเหล่านี้ใช้ประโยชน์จากบริการการเข้าถึงของ Android ซึ่งเป็นกลยุทธ์ที่พบในโทรจันโจมตีธนาคารอื่นๆ เช่น Crocodilus, Datzbro และ Klopatra ด้วย

แอปพลิเคชันทางการเงินบางแอปพลิเคชันมีกลไกป้องกันการจับภาพหน้าจอ เพื่อหลีกเลี่ยงการป้องกันเหล่านี้ Massiv ใช้เทคนิคที่เรียกว่า 'โหมด UI-tree' วิธีนี้จะสำรวจรากของ AccessibilityWindowInfo และประมวลผลออบเจ็กต์ AccessibilityNodeInfo ซ้ำๆ เพื่อสร้างภาพแสดงรายละเอียดของอินเทอร์เฟซที่มองเห็นได้ของอุปกรณ์ขึ้นมาใหม่

มัลแวร์นี้สร้างแผนที่ JSON ที่มีโครงสร้าง ซึ่งประกอบด้วยข้อความที่มองเห็นได้ คำอธิบายเนื้อหา องค์ประกอบ UI พิกัดหน้าจอ และแฟล็กการโต้ตอบที่ระบุว่าองค์ประกอบเหล่านั้นสามารถคลิก แก้ไข โฟกัส หรือเปิดใช้งานได้หรือไม่ เฉพาะโหนดที่มองเห็นได้ซึ่งมีข้อความเท่านั้นที่จะถูกส่งไปยังโครงสร้างพื้นฐานคำสั่งของผู้โจมตี ทำให้สามารถโต้ตอบจากระยะไกลได้อย่างแม่นยำผ่านคำสั่งที่ออกไป

ฟังก์ชันการทำงานที่เป็นอันตรายอย่างครอบคลุม

Massiv มาพร้อมกับชุดเครื่องมือปฏิบัติการที่หลากหลาย ซึ่งช่วยให้สามารถควบคุมและคงอยู่ในอุปกรณ์ได้อย่างครอบคลุม ความสามารถของมันประกอบด้วย:

• การเปิดหรือปิดใช้งานการแสดงผลหน้าจอสีดำ การปิดเสียง และการสั่น
• การสตรีมหน้าจออุปกรณ์และการส่งข้อมูลอุปกรณ์
• การควบคุมการคลิกและการปัดนิ้วจากระยะไกล
• การแก้ไขเนื้อหาในคลิปบอร์ด
• การปลดล็อกอุปกรณ์โดยใช้การตรวจสอบสิทธิ์ด้วยรูปแบบ
• การใช้งานโอเวอร์เลย์สำหรับแอปพลิเคชันเป้าหมายหรือหน้าจอล็อก
• ดาวน์โหลดแพ็กเกจโอเวอร์เลย์และติดตั้งไฟล์ APK เพิ่มเติม
• การเปิดการตั้งค่าระบบ เช่น การเพิ่มประสิทธิภาพแบตเตอรี่ ผู้ดูแลระบบอุปกรณ์ และ Play Protect
• ขออนุญาตติดตั้ง SMS และแพ็กเกจ
• การล้างฐานข้อมูลบันทึกอุปกรณ์

ฟังก์ชันเหล่านี้โดยรวมแล้วทำให้ผู้โจมตีสามารถควบคุม หลบเลี่ยงการตรวจจับ และดำเนินการฉ้อโกงทางการเงินได้อย่างแม่นยำ

กลยุทธ์การเผยแพร่: ตัวปล่อยไฟล์ที่มีธีม IPTV

ไวรัส Massiv แพร่กระจายผ่านแคมเปญฟิชชิ่งทาง SMS โดยใช้แอปพลิเคชันดรอปเปอร์ที่เลียนแบบบริการ IPTV หลังจากติดตั้งแล้ว ดรอปเปอร์จะแจ้งให้เหยื่อติดตั้งการอัปเดตที่ "สำคัญ" และขออนุญาตติดตั้งแอปพลิเคชันจากแหล่งภายนอก

สิ่งที่ตรวจพบว่าเป็นมัลแวร์ ได้แก่:

• IPTV24 (hfgx.mqfy.fejku) – แอปพลิเคชันตัวปล่อยไฟล์
• Google Play (hobfjp.anrxf.cucm) – เพย์โหลดขนาดใหญ่

ในกรณีส่วนใหญ่ที่มีการบันทึกไว้ แอปพลิเคชัน IPTV ที่ถูกต้องตามกฎหมายไม่ได้ถูกบุกรุก แต่ตัวปล่อยมัลแวร์เพียงแค่แสดงเนื้อหาเว็บที่เกี่ยวข้องกับ IPTV ผ่าน WebView สร้างภาพลวงตาว่าใช้งานได้ ในขณะที่มัลแวร์ทำงานอยู่เบื้องหลัง

ในช่วงหกเดือนที่ผ่านมา แคมเปญการตลาดแบบแจกใบปลิวที่มีธีมเกี่ยวกับรายการโทรทัศน์ในลักษณะเดียวกันนี้ ส่วนใหญ่มุ่งเป้าไปที่ประเทศสเปน โปรตุเกส ฝรั่งเศส และตุรกี

ตัวชี้วัดด้านการค้าและการพัฒนาอย่างต่อเนื่อง

Massiv เข้ามาสู่ระบบนิเวศมัลแวร์ Android ที่อิ่มตัวอยู่แล้ว ซึ่งตอกย้ำความต้องการอย่างต่อเนื่องสำหรับโซลูชันการฉ้อโกงทางการเงินแบบครบวงจรในกลุ่มอาชญากรไซเบอร์

แม้ว่าจะยังไม่ได้รับการยืนยันอย่างเป็นทางการว่าเป็นบริการกำจัดมัลแวร์ (Malware-as-a-Service) แต่การวิเคราะห์ชี้ให้เห็นถึงความเคลื่อนไหวไปในทิศทางนั้น การนำคีย์ API มาใช้ในการสื่อสารกับระบบแบ็กเอนด์บ่งชี้ถึงความพยายามในการสร้างมาตรฐานการดำเนินงานและอาจเปิดโอกาสให้บุคคลที่สามสามารถใช้งานได้ การตรวจสอบโค้ดเพิ่มเติมเผยให้เห็นถึงการพัฒนาอย่างต่อเนื่อง ซึ่งบ่งชี้ว่าอาจมีฟีเจอร์เพิ่มเติมและความสามารถที่ขยายมากขึ้นในเวอร์ชันต่อๆ ไป