ทรอยจัน TsarBot Banking

TsarBot ซึ่งเป็นมัลแวร์ที่เพิ่งค้นพบบนระบบปฏิบัติการแอนดรอยด์ ได้กลายมาเป็นภัยคุกคามทางไซเบอร์ที่สำคัญ โดยมัลแวร์ตัวนี้กำหนดเป้าหมายไปที่แอปพลิเคชันกว่า 750 รายการในภาคการธนาคาร การเงิน สกุลเงินดิจิทัล และอีคอมเมิร์ซ ซึ่งถือเป็นความเสี่ยงร้ายแรงต่อข้อมูลที่ละเอียดอ่อนของผู้ใช้

TsarBot เก็บเกี่ยวข้อมูลของคุณอย่างไร

TsarBot เป็นโทรจันสำหรับธนาคารที่ซับซ้อนซึ่งใช้การโจมตีแบบซ้อนทับเพื่อขโมยรายละเอียดธนาคาร ข้อมูลรับรองการเข้าสู่ระบบ และข้อมูลบัตรเครดิต TsarBot ปฏิบัติการในหลายภูมิภาค รวมถึงอเมริกาเหนือ ยุโรป เอเชียแปซิฟิก และตะวันออกกลาง โดยใช้กลวิธีหลอกลวงเพื่อแทรกซึมเข้าไปในอุปกรณ์และดึงข้อมูลออกมาได้อย่างราบรื่น

TsarBot แพร่กระจายอย่างไร: กับดักและกลอุบาย

TsarBot แพร่กระจายผ่านเว็บไซต์ที่เป็นอันตรายซึ่งปลอมตัวเป็นแพลตฟอร์มทางการเงิน ตัวอย่างที่น่าสนใจ ได้แก่ เวอร์ชันปลอมของแพลตฟอร์มการซื้อขายแบบกระจายอำนาจ Photon SOL ซึ่งหลอกล่อให้ผู้ใช้ดาวน์โหลดแอปการซื้อขายปลอม นอกจากนี้ กลวิธีฟิชชิ่งและวิศวกรรมสังคมก็มีบทบาทสำคัญในการแพร่กระจายของ TsarBot

มัลแวร์เช่น TsarBot มักฝังตัวอยู่ในเนื้อหาที่ดูไม่เป็นอันตราย โดยเข้าถึงผู้ใช้ผ่านการดาวน์โหลดแบบผ่านๆ การโฆษณาผ่านมัลแวร์ กลวิธีออนไลน์ แหล่งดาวน์โหลดที่น่าสงสัย อีเมลขยะ การอัปเดตปลอม และเนื้อหาละเมิดลิขสิทธิ์ มัลแวร์บางตัวสามารถแพร่กระจายตัวเองผ่านเครือข่ายท้องถิ่นและไดรฟ์ USB ทำให้ยากต่อการควบคุมยิ่งขึ้น

TsarBot ทำงานอย่างไร: ปรมาจารย์แห่งการหลอกลวง

เมื่อติดตั้งแล้ว TsarBot ซึ่งมักปลอมตัวเป็น Google Play Services จะทำการโจมตีแบบโอเวอร์เลย์โดยแสดงหน้าจอเข้าสู่ระบบปลอมบนแอปพลิเคชันที่ถูกกฎหมาย ซึ่งช่วยให้รวบรวมข้อมูลรับรองการเข้าสู่ระบบได้โดยไม่ทำให้เกิดความสงสัย

นอกเหนือจากการโจมตีแบบซ้อนทับแล้ว TsarBot ยังใช้เทคนิคขั้นสูง เช่น การบันทึกหน้าจอ การควบคุมอุปกรณ์ที่ติดเชื้อจากระยะไกล และกลไกการล็อกที่ดักจับ PIN และรหัสผ่านโดยใช้หน้าจอล็อกปลอม นอกจากนี้ ยังจำลองการกระทำของผู้ใช้ เช่น การปัดและแตะ ในขณะที่ปกปิดกิจกรรมด้วยหน้าจอซ้อนทับสีดำได้อีกด้วย

การเชื่อมต่อคำสั่งและการควบคุม (C&C)

TsarBot สื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C&C) ผ่านการเชื่อมต่อ WebSocket ซึ่งช่วยให้ขโมยข้อมูลและกระทำการฉ้อโกงได้แบบเรียลไทม์ การเชื่อมต่อเหล่านี้ทำให้มัลแวร์สามารถเข้าควบคุมหน้าจอ ดำเนินการท่าทาง และโต้ตอบกับแอปพลิเคชันเป้าหมายได้

มัลแวร์ดังกล่าวจะรักษารายชื่อแอปพลิเคชันเป้าหมายที่อัปเดตล่าสุดไว้ รวมถึงแพลตฟอร์มธนาคารจากอินเดีย ฝรั่งเศส โปแลนด์ และออสเตรเลีย การซื้อขายสกุลเงินดิจิทัล และแอปพลิเคชันโซเชียลมีเดีย เมื่อผู้ใช้โต้ตอบกับแอปพลิเคชันเหล่านี้ TsarBot จะสร้างหน้าฟิชชิ่งปลอมขึ้นมาทับเพื่อรวบรวมข้อมูลประจำตัว แล้วส่งข้อมูลที่รวบรวมได้กลับไปยังเซิร์ฟเวอร์ C&C

วิธีการรักษาความปลอดภัยจาก TsarBot

เพื่อป้องกันภัยคุกคามเช่น TsarBot ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์แนะนำดังนี้:

• หลีกเลี่ยงแหล่งที่มาของแอปที่ไม่น่าเชื่อถือและร้านค้าของบุคคลที่สาม
• ระมัดระวังลิงค์ฟิชชิ่งและเว็บไซต์ที่น่าสงสัย
• เปิดใช้งาน Google Play Protect เพื่อเพิ่มความปลอดภัย
• อัปเดตอุปกรณ์เป็นประจำเพื่อแก้ไขช่องโหว่
• การหลีกเลี่ยงจากการดาวน์โหลดซอฟต์แวร์ที่ละเมิดลิขสิทธิ์หรือแคร็ก

เนื่องจากโทรจันในระบบธนาคารของ Android มีความซับซ้อนมากขึ้น ผู้ใช้จึงต้องเฝ้าระวังและใช้มาตรการรักษาความปลอดภัยเชิงรุกเพื่อปกป้องข้อมูลของตน