ระวังมัลแวร์ดูดเงินตัวใหม่บน Android "Perseus"
ระวังมัลแวร์ดูดเงินตัวใหม่บน Android "Perseus" พบแอบลักลอบดูดข้อมูลจากแอปจดโน๊้ตต่าง ๆ เพื่อขโมยรหัส
ชื่อ Perseus อาจจะเป็นที่คุ้นเคยกันดีในฐานะชื่อวีรบุรุษชาวกรีซ และ ชื่อของผู้อ้างตนเป็นผู้วิเศษที่เคยโด่งดังบนรายการโทรทัศน์ดาวเทียม และอินเทอร์เน็ตไทยเมื่อ 10 กว่าปีที่แล้ว แต่ในครั้งนี้ชื่อนี้อาจไม่ใช่ความเท่หรือความตลกอีกต่อไป เนื่องจากได้ถูกนำมาใช้งานเป็นชื่อมัลแวร์ดูดเงิน หรือ Banking Trokjan ไปเป็นที่เรียบร้อยแล้ว
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายของ Banking Trojan ที่มีชื่อว่า Perseus ซึ่งมีความสามารถในการเข้ายึด และควบคุมเครื่องของเหยื่อโดยสมบูรณ์ (DTO หรือ Device Take Over) โดยมัลแวร์ตัวนี้นั้นเรียกได้ว่าเป็นการพัฒนาต่อยอดมาจากมัลแวร์ประเภทเดียวกัน 2 ตัวนั่นคือ Cerberus และ Phoenix โดยตัว Cerberus นั้นถูกตรวจพบครั้งแรกในช่วงปี ค.ศ. 2019 (พ.ศ. 2562) โดยเป็นมัลแวร์ที่มีจุดเด่นในด้านการเข้าถึงโหมดสำหรับช่วยเหลือคนพิการ (Accesibility Mode) และความสามารถในการเพิ่มสิทธิ์ (Permission) ในการเข้าถึงระบบให้กับตัวเองได้ ต่อมาโค้ดต้นฉบับ (Source Code) ของมัลแวร์ตัวนี้ได้รั่วไหลสู่สาธารณะ ทำให้นำมาสู่การพัฒนาต่อ (Fork) เป็นสายพันธุ์ย่อยมากมายหลายตัว เช่น Alien, ERMAC, Phoenix มาจนถึงตัวปัจจุบันอย่าง Perseus ที่ถึงมาจะมาจากรากฐานของมัลแวร์ตัวดังกล่าว แต่ก็มีการเพิ่มความสามารถด้านการทำงานที่ยืดหยุ่น (Flexibility) เพื่อเปิดทางให้สามารถแพร่กระจายด้วยการอาศัยมัลแวร์นกต่อ (Loader) เป็นตัวกลางในการทำการหลอกลวงแบบ Phishing ด้วยการใช้เว็บไซต์ปลอมได้อย่างสะดวก ซึ่งแอปพลิเคชันปลอมที่ใช้หลอกให้เหยื่อติดตั้งมัลแวร์นั้น ทางทีมวิจัยได้มีการเปิดเผยชื่อมาบางส่วน โดยมีรายชื่อดังนี้
Roja App Directa (com.xcvuc.ocnsxn) - มัลแวร์นกต่อ (Dropper)
TvTApp (com.tvtapps.live) - ไฟล์มัลแวร์ (Payload) ของ Perseus payload
PolBox Tv (com.streamview.players) - ไฟล์มัลแวร์ของ Perseus
จากการวิเคราะห์ในเชิงลึก ทางทีมวิจัยพบว่า มีความเป็นไปได้ที่แฮกเกอร์ได้นำเอาเครื่องมือปัญญาประดิษฐ์ หรือ AI (Artificial Intelligence) ในรูปแบบโมเดลภาษาขนาดใหญ่ (LLM หรือ Large Language Model) เข้ามาใช้ในขั้นตอนการพัฒนามัลแวร์ตัวนี้ เนื่องจากมีการตรวจพบบันทึก (Logging) และอีโมจิ (Emoji) จำนวนมากบนตัวโค้ด ซึ่งผิดวิสัยไปจากการเขียนโค้ดด้วยมนุษย์ตามปกติ สำหรับการระบาดนั้น ทางทีมวิจัยจาก ThreatFabric บริษัทผู้เชี่ยวชาญด้านการป้องกันภัยไซเบอร์ พบว่ามัลแวร์ตัวนี้กำลังระบาดอย่างหนักอยู่ในหลากพื้นที่ เช่น ตุรกี, อิตาลี, โปแลนด์, เยอรมนี, ฝรั่งเศส, สหรัฐอาหรับเอมิเรตส์ และ โปรตุเกส โดยเฉพาะ 2 ประเทศแรกจะมีการระบาดที่หนักเป็นพิเศษ
ความสามารถของมัลแวร์ดังกล่าวที่มีต่อเครื่องของเหยื่อนั้น ก็เรียกได้ว่ามีอยู่มากมาย เช่น
scan_notes, ใช้ในการคัดลอกข้อมูลจากแอปพลิเคชันสำหรับการจดโน้ต (Note-Taking Apps) เช่น Google Keep, Xiaomi Notes, Samsung Notes, ColorNote Notepad Notes, Evernote, Simple Notes Pro, Simple Notes, และ Microsoft OneNote (แต่มีการระบุชื่อแพ็คเกจบนโค้ดผิด เป็น "com.microsoft.onenote" แทนที่จะเป็น "com.microsoft.office.onenote").
start_vnc, ใช้ในการถ่ายทอดหน้าจอเครื่องของเหยื่อแบบเกือบใกล้เคียงเวลาจริง (Real-Time)
stop_vnc, ใช้ในการปิด Session dการเข้าควบคุมจากระยะไกล (Remote Control)
start_hvnc, ใช้ในการถ่ายทอดข้อมูลโครงสร้าง ลำดับของหน้าจอการใช้งาน (UI หรือ User Interface) กลับไปให้แฮกเกอร์ผู้ควบคุมมัลแวร์ เพื่อที่จะได้ใช้โปรแกรมเข้าควบคุมการใช้งานหน้าจอเครื่องของเหยื่อได้
Stop_hvnc, ใช้ในการปิด Session dการเข้าควบคุมจากระยะไกล (Remote Control)
enable_accessibility_screenshot, ใช้เปิดฟีเจ�อร์การบันทึกหน้าจอ (Screenshot) ผ่านโหมดช่วยเหลือคนพิการ (Accessibility Mode)
disable_accessibility_screenshot, ใช้ปิดฟีเจอร์การบันทึกหน้าจอ (Screenshot) ผ่านโหมดช่วยเหลือคนพิการ (Accessibility Mode)
disable_accessibility_screenshot, ใช้ปิดฟีเจอร์การบันทึกหน้าจอ (Screenshot) ผ่านโหมดช่วยเหลือคนพิการ (Accessibility Mode)
unblock_app, ใช้ในการลบชื่อของแอปพลิเคชันออกจากรายชื่อการปิดกั้น หรือ Blocklist
clear_blocked, to clear the entire list of blocked applications.
Action_blackscreen, ใช้ในการเปิดหน้าจอสีดำเพื่อซ้อนทับ (Overlay) หน้าจอการทำงานของมัลแวร์
nighty, ใช้ในการปิดเสียงของเครื่องเหยื่อ
click_coord, ใช้ในการปัดหน้าจอ (Tap) ตามตำแหน่งที่ต้องการ
install_from_unknown, ใช้ในการจัดการติดตั้งแอปพลิเคชันแบบหาแหล่งที่มีที่ไปไม่ได้ (Unkown Sources)
start_app, ใช้ในการเปิดแอปพลิเคชันที่แฮกเกอร์ต้องการ
นอกจากนั้นมัลแวร์ตัวนี้ยังมีความสามารถในการหลบเลี่ยงการถูกวิเคราะห์ (Anti-Analysis), ต่อต้านการถูก�ดีบั๊ก (Anti-Debugging) และตรวจสอบว่ามีการเสียบซิมการ์ด (SIM) อยู่อย่างถูกต้องหรือไม่อีกด้วย
#ติดเทรนด์ #Lemon8ฮาวทู #ป้ายยากับlemon8 #Android #freedomhack
เมื่อพูดถึงมัลแวร์บนระบบ Android โดยเฉพาะอย่างยิ่งที่เข้าถึงข้อมูลส่วนตัวอย่างลึกซึ้งอย่างมัลแวร์ Perseus มันเป็นสิ่งที่สร้างความกังวลอย่างมากในยุคที่เราพึ่งพาแอปจดโน้ตและแอปจัดการข้อมูลส่วนตัวมากขึ้น จากประสบการณ์ส่วนตัว ผมเคยสัมผัสกับมัลแวร์ประเภทที่สามารถดักจับข้อมูลส่วนตัวที่เก็บไว้ในแอปจดโน้ต เช่น แอปรายการสิ่งที่ต้องทำ หรือแม้แต่ข้อมูลสำคัญที่เกี่ยวข้องกับบัญชีธนาคารและรหัสผ่านต่างๆ ซึ่งมัลแวร์เหล่านี้จะพยายามเลี่ยงการถูกตรวจจับด้วยเทคนิคขั้นสูงอย่างการล็อกบันทึกการทำงานหรือใช้โหมดช่วยเหลือคนพิการ เพื่อหลีกเลี่ยงระบบป้องกันของ Android สิ่งที่น่ากลัวที่สุดของ Perseus คือความสามารถในการแสดงผลแบบเรียลไทม์และเข้าควบคุมเครื่องเหยื่อที่เรียกว่า Device Take Over (DTO) ทำให้แฮกเกอร์สามารถเข้าถึงและจัดการเครื่องได้เหมือนกับถือมือถืออยู่ในมือเลยทีเดียว ซึ่งรวมถึงเปิดการบันทึกหน้าจอ การปิดเสียง รวมถึงการสร้างหน้าจอโปร่งทึบเพื่อหลีกเลี่ยงการสังเกตเห็นของผู้ใช้ หลายครั้งที่มัลแวร์รูปแบบนี้แฝงตัวผ่านแอปปลอมที่ถูกปล่อยลงสโตร์ปลอม รวมถึงการใช้ Phishing เพื่อหลอกให้ผู้ใช้ดาวน์โหลดแอปเหล่านี้ ควรระมัดระวังและตรวจสอบแหล่งที่มาของแอปอย่างละเอียด โดยเฉพาะแอปที่ร้องขอสิทธิ์มากเกินความจำเป็น การป้องกันเบื้องต้นสำหรับผู้ใช้ Android คือ 1. ติดตั้งแอปจาก Play Store เท่านั้น และควรตรวจสอบรีวิวและความน่าเชื่อถือของผู้พัฒนาอย่างรอบคอบ 2. จำกัดการเปิดอนุญาตสิทธิ์ (Permissions) ให้เฉพาะแอปที่จำเป็น 3. ติดตั้งโปรแกรมแอนตี้ไวรัสหรือแอนตี้มัลแวร์ที่มีการอัพเดตฐานข้อมูลล่าสุด 4. ระมัดระวังเว็บไซต์และลิงก์ที่คลิก โดยเฉพาะอย่างยิ่งจากอีเมลหรือข้อความที่ไม่น่าเชื่อถือ สุดท้าย การตระหนักถึงภัยคุกคามและติดตามข่าวสารด้านความปลอดภัยไซเบอร์อยู่เสมอ ถือเป็นเรื่องสำคัญมากที่จะช่วยให้เราไม่ตกเป็นเหยื่อของมัลแวร์ชนิดนี้ และยังช่วยปกป้องข้อมูลส่วนตัวของเราให้คงอยู่ปลอดภัยได้ในยุคดิจิทัลนี้
