พบมัลแวร์ตัวใหม่บน Android แอบอ่านแชตได้ เพื่อขโมยข้อมูลการเงิน

นักวิจัยด้านความปลอดภัยตรวจพบ Sturnus มัลแวร์โทรจันตัวใหม่บน Android ที่แม้จะยังอยู่ในระยะเริ่มต้นของการพัฒนา แต่ความสามารถกลับสูงอย่างน่าตกใจ ด้วยการแอบอ่านแชตได้ เพื่อขโมยข้อมูลการเงิน

ThreatFabric บริษัทวิจัยความปลอดภัยไซเบอร์ ได้พบมัลแวร์ตัวใหม่ ที่สามารถควบคุมหน้าจอ ขโมยข้อมูลบัญชีธนาคาร และเข้าถึงข้อความแชทได้อย่างเงียบเชียบ จุดที่น่าห่วงคือ แม้ข้อความเหล่านั้นจะถูกเข้ารหัสแบบ end-to-end แต่มัลแวร์จะรอให้แอปถอดรหัสบนเครื่องก่อน แล้วจึงดักขโมยข้อมูลทั้งหมดไป

Sturnus ไม่ได้เจาะหรือทำลายระบบการเข้ารหัสโดยตรง แต่ใช้ช่องว่างหลังการถอดรหัสบนอุปกรณ์เป็นจุดโจมตี ทำให้ผู้ใช้เข้าใจผิดว่าการสื่อสารของตนยังคงปลอดภัย ด้วยการโจมตีหลายชั้นที่เปิดโอกาสให้แฮ็กเกอร์มองเห็นการทำงานของอุปกรณ์ได้เกือบทั้งหมด มันสามารถแสดงหน้า HTML ปลอมที่เลียนแบบแอปธนาคารจริง เพื่อหลอกให้ผู้ใช้กรอกข้อมูลบัญชี ซึ่งข้อมูลทั้งหมดจะถูกส่งไปยังผู้โจมตีแบบเรียลไทม์ผ่าน WebView

นอกจากนี้ มัลแวร์ยังอาศัย Android Accessibility Service เพื่อบันทึกการกดแป้นพิมพ์ ติดตามแอปที่กำลังใช้งาน และทำแผนที่องค์ประกอบ UI ทุกอย่างบนหน้าจอ แม้แอปธนาคารจะป้องกันการจับภาพหน้าจอ แต่ Sturnus ก็ยังสามารถติดตามโครงสร้าง UI แบบเรียลไทม์ ซึ่งเพียงพอสำหรับการสร้างพฤติกรรมการใช้งานของเหยื่อขึ้นมาใหม่ได้

Sturnus ยังเฝ้าตรวจสอบแอปส่งข้อความยอดนิยมอย่าง WhatsApp, Telegram, Signal และแอปอื่นๆ โดยจะรอให้ข้อความถูกถอดรหัสบนเครื่อง ก่อนดักจับข้อมูลจากหน้าจอโดยตรง นั่นหมายความว่าแม้ข้อมูลจะปลอดภัยบนเครือข่าย แต่ทันทีที่ข้อความปรากฏบนหน้าจอ แฮ็กเกอร์ก็สามารถเห็นบทสนทนาทั้งหมดได้

มัลแวร์ตัวนี้ยังรองรับการควบคุมอุปกรณ์จากระยะไกลแบบเต็มรูปแบบ ทั้งการสตรีมหน้าจอแบบเรียลไทม์ และโหมดประหยัดทรัพยากรที่ส่งเฉพาะข้อมูลอินเทอร์เฟซ ทำให้ผู้โจมตีสามารถแตะ เลื่อน พิมพ์ข้อความ หรืออนุมัติสิทธิ์ต่างๆ ได้อย่างแม่นยำ โดยที่เหยื่อแทบไม่สังเกตเห็นความผิดปกติ

ในด้านการป้องกันตัวเอง Sturnus จะยึดสิทธิ์ผู้ดูแลระบบอุปกรณ์ และขัดขวางความพยายามในการลบสิทธิ์นั้น หากผู้ใช้เปิดหน้าการตั้งค่าที่สามารถปิดการทำงานได้ มัลแวร์จะตรวจจับและบังคับออกจากหน้าจอทันที นอกจากนี้ยังตรวจสอบสถานะแบตเตอรี การเปลี่ยนซิม โหมดนักพัฒนา เครือข่าย และสัญญาณของการวิเคราะห์ทางนิติวิทยาศาสตร์ เพื่อปรับพฤติกรรมการทำงาน ข้อมูลทั้งหมดจะถูกส่งกลับไปยังเซิร์ฟเวอร์ควบคุมผ่านช่องทาง WebSocket และ HTTP ที่เข้ารหัสด้วย RSA และ AES

สำหรับการโจรกรรมทางการเงิน Sturnus มีเครื่องมือครบมือ ตั้งแต่การขโมยข้อมูลผ่านหน้าซ้อนทับ การบันทึกการพิมพ์ การวิเคราะห์ UI ไปจนถึงการแทรกข้อความโดยตรง ในบางกรณี มันสามารถปิดบังหน้าจอของเหยื่อด้วยโอเวอร์เลย์สีดำทั้งหน้าจอ ขณะที่ผู้โจมตีดำเนินธุรกรรมทุจริตอยู่เบื้องหลัง ทำให้ผู้ใช้ไม่รู้ตัวจนกระทั่งความเสียหายเกิดขึ้นแล้ว

ที่มา foxnews

หนุ่ย แซ่แต้

นักเขียนสาย Introvert ที่ชื่นชอบเรื่องนวัตกรรมและความคิดสร้างสรรค์ ใช้เวลาว่างกับ มังงะ, เสียงเพลงและ idol