มัลแวร์ธนาคารเพอร์ซีอุส
นักวิเคราะห์ด้านความปลอดภัยทางไซเบอร์ได้ระบุพบมัลแวร์ตระกูลใหม่สำหรับระบบปฏิบัติการ Android ที่รู้จักกันในชื่อมัลแวร์ Perseus Android ซึ่งกำลังถูกนำไปใช้งานอย่างแพร่หลายเพื่อเข้าควบคุมอุปกรณ์ (DTO) และทำการฉ้อโกงทางการเงิน ภัยคุกคามนี้แสดงให้เห็นถึงวิวัฒนาการที่สำคัญของมัลแวร์บนมือถือ โดยผสมผสานเทคนิคที่มีอยู่เดิมเข้ากับความยืดหยุ่นในการใช้งานที่เพิ่มขึ้น
สารบัญ
วิวัฒนาการจากสายพันธุ์มัลแวร์ที่ได้รับการพิสูจน์แล้ว
Perseus สร้างขึ้นบนพื้นฐานของมัลแวร์ Cerberus และมัลแวร์ Phoenix สำหรับ Android ซึ่งเป็นโทรจันโจมตีระบบธนาคารบน Android ที่รู้จักกันดีทั้งคู่ Cerberus ถูกเปิดเผยครั้งแรกในเดือนสิงหาคม 2019 โดยใช้ประโยชน์จากบริการการเข้าถึงของ Android เพื่อยกระดับสิทธิ์ ขโมยข้อมูลสำคัญ และใช้การโจมตีแบบโอเวอร์เลย์เพื่อขโมยข้อมูลประจำตัว หลังจากที่ซอร์สโค้ดรั่วไหลในปี 2020 ก็มีมัลแวร์ที่พัฒนาต่อยอดออกมาหลายตัว รวมถึง Alien, ERMAC และ Phoenix
Perseus เป็นการต่อยอดจากโค้ดเบสของ Phoenix พัฒนาให้เป็นแพลตฟอร์มที่มีความยืดหยุ่นและมีประสิทธิภาพมากขึ้น ตัวบ่งชี้ต่างๆ เช่น การบันทึกข้อมูลภายในแอปอย่างละเอียด และโค้ดที่ผิดปกติ บ่งชี้ว่าผู้โจมตีอาจใช้โปรแกรมช่วยสร้างแบบจำลองภาษาขนาดใหญ่ (LLM) ในระหว่างการพัฒนา
ช่องทางการแพร่กระจาย: วิศวกรรมทางสังคมผ่านแอปพลิเคชัน IPTV
กลยุทธ์การแพร่กระจายอาศัยเทคนิคทางสังคมเป็นหลัก โดย Perseus ถูกส่งผ่านแอปพลิเคชันตัวปล่อยมัลแวร์ที่โฮสต์อยู่บนเว็บไซต์ฟิชชิ่ง ซึ่งมักปลอมตัวเป็นบริการ IPTV วิธีการนี้คล้ายคลึงกับแคมเปญที่เกี่ยวข้องกับมัลแวร์ Massiv สำหรับ Android ซึ่งมุ่งเป้าไปที่ผู้ใช้ที่พยายามเข้าถึงเนื้อหาสตรีมมิ่งระดับพรีเมียมโดยไม่ได้รับอนุญาต
ด้วยการฝังมัลแวร์ไว้ในแอปพลิเคชัน IPTV ที่ดูเหมือนถูกต้องตามกฎหมาย ผู้โจมตีจึงลดความสงสัยของผู้ใช้และเพิ่มอัตราความสำเร็จในการแพร่ระบาดได้อย่างมาก แคมเปญนี้มุ่งเป้าไปที่ผู้ใช้ในหลายภูมิภาคเป็นหลัก รวมถึงตุรกี อิตาลี โปแลนด์ เยอรมนี ฝรั่งเศส สหรัฐอาหรับเอมิเรตส์ และโปรตุเกส
ห่วงโซ่การแพร่กระจายของมัลแวร์และสิ่งประดิษฐ์ที่ทราบแล้ว
มีการระบุแอปพลิเคชันหลายอย่างที่เป็นส่วนหนึ่งของระบบนิเวศการกระจายของ Perseus:
- Roja App Directa (com.xcvuc.ocnsxn) - แอปพลิเคชัน Dropper
- TvTApp (com.tvtapps.live) – เพย์โหลดหลักของ Perseus
- PolBox Tv (com.streamview.players) – รูปแบบเพย์โหลดรอง
แอปพลิเคชันเหล่านี้ทำหน้าที่เป็นช่องทางในการติดตั้งมัลแวร์ลงบนอุปกรณ์ที่ติดไวรัส
ความสามารถในการเข้าควบคุมอุปกรณ์ขั้นสูง
Perseus ใช้ประโยชน์จากบริการการเข้าถึงของ Android เพื่อสร้างเซสชันระยะไกล ทำให้สามารถตรวจสอบแบบเรียลไทม์และโต้ตอบกับอุปกรณ์ที่ติดไวรัสได้อย่างแม่นยำ ฟังก์ชันนี้ช่วยให้สามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์ ทำให้ผู้โจมตีมีอำนาจควบคุมกิจกรรมของผู้ใช้ได้อย่างกว้างขวาง
แตกต่างจากมัลแวร์ประเภทโทรจันที่โจมตีระบบธนาคารทั่วไป Perseus ไม่ได้แค่ขโมยข้อมูลประจำตัวเท่านั้น แต่ยังคอยตรวจสอบแอปพลิเคชันจดบันทึกต่างๆ ด้วย พฤติกรรมนี้บ่งชี้ว่ามัลแวร์นี้จงใจดึงข้อมูลส่วนบุคคลและข้อมูลทางการเงินที่มีมูลค่าสูง ซึ่งอาจไม่ได้ถูกจัดเก็บไว้ในช่องข้อมูลประจำตัวแบบปกติ
เทคนิคการโจมตีหลัก: การซ้อนทับและการดักจับข้อมูลขาเข้า
เมื่อเริ่มทำงานแล้ว Perseus จะใช้เทคนิคของมัลแวร์โจมตีแอปพลิเคชันธนาคารบน Android ที่เป็นที่รู้จักกันดี มันจะทำการโจมตีแบบโอเวอร์เลย์เพื่อแสดงอินเทอร์เฟซปลอมทับแอปพลิเคชันธนาคารและสกุลเงินดิจิทัลที่ถูกต้อง และดักจับข้อมูลประจำตัวของผู้ใช้แบบเรียลไทม์ นอกจากนี้ ยังมีการบันทึกการกดแป้นพิมพ์เพื่อดักจับข้อมูลสำคัญขณะที่ผู้ใช้ป้อนข้อมูลอีกด้วย
การปฏิบัติการควบคุมและสั่งการ: กรอบการทำงานสำหรับการจัดการระยะไกล
มัลแวร์นี้ถูกควบคุมผ่านโครงสร้างพื้นฐานการควบคุมและสั่งการ (C2) ซึ่งช่วยให้ผู้ปฏิบัติงานสามารถออกคำสั่ง เปลี่ยนแปลงพฤติกรรมของอุปกรณ์ และอนุมัติธุรกรรมที่เป็นการฉ้อโกงได้ คำสั่งหลักที่รองรับ ได้แก่:
- การดึงข้อมูลและการเฝ้าระวัง (เช่น การบันทึกข้อความจากแอปต่างๆ เช่น Google Keep, Evernote และ Microsoft OneNote)
- การจัดการเซสชันระยะไกลผ่าน VNC และ HVNC สำหรับการโต้ตอบกับ UI แบบเรียลไทม์หรือแบบมีโครงสร้าง
- การจับภาพหน้าจอโดยใช้บริการการเข้าถึง
- การควบคุมแอปพลิเคชัน รวมถึงการเปิดแอปหรือการยกเลิกข้อจำกัด
- กลยุทธ์หลอกลวงผู้ใช้ เช่น การแสดงหน้าจอสีดำซ้อนทับและการปิดเสียง
- การติดตั้งโดยไม่ได้รับอนุญาตจากแหล่งที่ไม่รู้จัก และการจำลองการโต้ตอบของผู้ใช้
ชุดคำสั่งที่ครอบคลุมนี้ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ถูกบุกรุกได้อย่างต่อเนื่องและลับๆ
กลยุทธ์การหลบหลีกและการตระหนักรู้ด้านสิ่งแวดล้อม
Perseus ผสานรวมเทคนิคต่อต้านการวิเคราะห์ขั้นสูงเพื่อหลีกเลี่ยงการตรวจจับ โดยจะทำการตรวจสอบสภาพแวดล้อมอย่างละเอียด รวมถึงการระบุเครื่องมือดีบัก การตรวจสอบการมีอยู่ของซิมการ์ด การวิเคราะห์จำนวนแอปพลิเคชันที่ติดตั้ง และการตรวจสอบข้อมูลแบตเตอรี่เพื่อยืนยันการทำงานบนอุปกรณ์จริง
มัลแวร์จะรวบรวมข้อมูลเหล่านี้เข้าเป็น 'คะแนนความน่าสงสัย' ซึ่งจะถูกส่งไปยังเซิร์ฟเวอร์ C2 โดยอิงจากคะแนนนี้ ผู้ปฏิบัติงานจะตัดสินใจว่าจะดำเนินการโจมตีต่อไปหรือจะหยุดนิ่งเพื่อหลีกเลี่ยงการตรวจจับ
นัยสำคัญเชิงกลยุทธ์: ประสิทธิภาพผ่านวิวัฒนาการ
Perseus เป็นตัวอย่างหนึ่งของการวิวัฒนาการอย่างต่อเนื่องของมัลแวร์ Android ซึ่งภัยคุกคามใหม่ๆ มักถูกสร้างขึ้นบนโครงสร้างพื้นฐานที่มีอยู่แล้ว แทนที่จะพัฒนาขึ้นมาใหม่ทั้งหมด โดยการผสมผสานความสามารถที่สืบทอดมาจาก Cerberus และ Phoenix เข้ากับการปรับปรุงที่ตรงเป้าหมาย เช่น การตรวจสอบบันทึกและการควบคุมระยะไกลที่ดีขึ้น Perseus จึงสร้างสมดุลระหว่างประสิทธิภาพและนวัตกรรม
แนวทางนี้สะท้อนให้เห็นถึงแนวโน้มที่กว้างขึ้นในอาชญากรรมไซเบอร์ นั่นคือ การให้ความสำคัญกับความสามารถในการปรับตัว ความสามารถในการขยายขนาด และการดึงข้อมูลที่มีมูลค่าสูง ซึ่งทำให้การโจมตีด้วยมัลแวร์ในยุคปัจจุบันมีประสิทธิภาพมากขึ้นและตรวจจับได้ยากขึ้น
