ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม มัลแวร์บนมือถือ มัลแวร์โทรจัน Rokarolla Banking

มัลแวร์โทรจัน Rokarolla Banking

โดย Mezo ใน มัลแวร์บนมือถือ, โทรจันธนาคาร
แปลเป็น:

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์โทรจันสำหรับแอปพลิเคชันธนาคารบนระบบ Android ตัวใหม่ที่ชื่อว่า Rokarolla ซึ่งตั้งชื่อตามโครงสร้างพื้นฐานการควบคุมและสั่งการ (C2) ของมัน มัลแวร์นี้ได้รับการออกแบบมาเพื่อโจมตีบริการทางการเงินที่หลากหลาย โดยสามารถโจมตีแอปพลิเคชันธนาคารและสกุลเงินดิจิทัลได้ถึง 217 แอปพลิเคชัน Rokarolla มาพร้อมกับคำสั่งควบคุมระยะไกล 137 คำสั่ง ทำให้ผู้ร้ายทางไซเบอร์สามารถควบคุมอุปกรณ์ที่ถูกโจมตีได้อย่างเหนือชั้น

เมื่อติดตั้งแล้ว มัลแวร์นี้สามารถลบการป้องกันหน้าจอล็อก ดักจับและส่งข้อความ SMS แก้ไขเนื้อหาในคลิปบอร์ดเพื่อเปลี่ยนเส้นทางการโอนเงินสกุลคริปโต และแม้กระทั่งปิดใช้งานกลไกความปลอดภัยในตัวของ Google ได้

การแจกจ่ายแบบแฝงผ่านแอปพลิเคชันปลอม

ไวรัส Rokarolla แพร่กระจายโดยส่วนใหญ่ผ่านเว็บไซต์ที่เป็นอันตรายซึ่งปลอมตัวเป็นแอปพลิเคชันที่ถูกต้องและได้รับความนิยม เช่น TikTok และ Google Chrome

ในขั้นต้น เหยื่อจะดาวน์โหลดแอปพลิเคชันตัวปล่อยมัลแวร์ที่ปลอมตัวเป็น Google Play Protect โดยใช้ประโยชน์จากรูปลักษณ์ที่น่าเชื่อถือนี้ ตัวปล่อยมัลแวร์จะหลอกล่อให้ผู้ใช้ให้สิทธิ์การเข้าถึงบริการการเข้าถึง (Accessibility Service) และอำนวยความสะดวกในการติดตั้งมัลแวร์ หลังจากติดตั้งแล้ว คำสั่งหนึ่งของ Rokarolla จะปิดใช้งาน Play Protect ทันที ซึ่งเป็นการทำลายชั้นความปลอดภัยที่สำคัญของ Android

การโจมตีแบบโอเวอร์เลย์ที่ออกแบบมาเพื่อขโมยข้อมูลประจำตัว

การขโมยข้อมูลประจำตัวดำเนินการผ่านการโจมตีแบบโอเวอร์เลย์ที่ซับซ้อน Rokarolla ดึงรายการแอปพลิเคชันเป้าหมายจากเซิร์ฟเวอร์คำสั่งและดาวน์โหลดหน้าเข้าสู่ระบบ HTML ปลอมที่ตรงกับแอปเหล่านั้น อินเทอร์เฟซปลอมเหล่านี้จะถูกจัดเก็บไว้ในเครื่องและแสดงขึ้นทุกครั้งที่เหยื่อเปิดแอปพลิเคชันธนาคารหรือแอปพลิเคชันสกุลเงินดิจิทัลที่ถูกต้อง

หน้าจอปลอมเหล่านี้ถูกออกแบบมาเพื่อดักจับข้อมูลทั้งหมดที่ผู้ใช้ป้อน รวมถึงชื่อผู้ใช้ รหัสผ่าน และรายละเอียดบัตรชำระเงิน นักวิจัยพบตัวอย่างหนึ่งที่เลียนแบบแอปพลิเคชันธนาคาร 'imagine' ได้อย่างแนบเนียน

มัลแวร์นี้ยังติดตั้งโอเวอร์เลย์หน้าจอล็อก Android ปลอมที่สามารถดักจับ PIN รูปแบบ และรหัสผ่านได้ ความสามารถนี้ทำให้ผู้โจมตีสามารถเข้าถึงและควบคุมอุปกรณ์ได้แม้ในขณะที่อุปกรณ์ถูกล็อกอยู่

การขโมยข้อมูลประจำตัว การสอดแนม และการฉ้อโกงทางการเงิน รวมอยู่ในแพ็กเกจเดียว

Rokarolla ผสานรวมกลไกการเฝ้าระวังและการโจรกรรมหลายรูปแบบเพื่อเพิ่มการรวบรวมข้อมูลและผลกำไรทางการเงินให้สูงสุด:

  • ความสามารถในการตรวจสอบและส่งข้อความ SMS อย่างเต็มรูปแบบ ช่วยให้สามารถดักจับรหัสผ่านแบบใช้ครั้งเดียวที่ใช้สำหรับการยืนยันตัวตนในธนาคารและการอนุมัติธุรกรรมได้
  • ด้วยการตั้งค่าตัวเองให้เป็นแอปพลิเคชันรับส่งข้อความและโทรออกเริ่มต้นของอุปกรณ์ มัลแวร์สามารถบล็อกสายเรียกเข้า ซึ่งอาจป้องกันไม่ให้เหยื่อได้รับคำเตือนเกี่ยวกับการฉ้อโกงได้
  • ฟังก์ชันการบันทึกการกดแป้นพิมพ์และการบันทึกหน้าจอแบบบูรณาการจะบันทึกกิจกรรมของผู้ใช้ ในขณะที่รายชื่อผู้ติดต่อและการแจ้งเตือนจะถูกเก็บรวบรวมอย่างต่อเนื่อง
  • การแก้ไขคลิปบอร์ดจะทำการแทนที่ที่อยู่กระเป๋าเงินคริปโตเคอร์เรนซีที่คัดลอกมาด้วยที่อยู่กระเป๋าเงินที่ผู้โจมตีควบคุมได้โดยที่เหยื่อไม่รู้ตัว ทำให้เงินถูกโอนไปโดยที่เหยื่อไม่รู้ตัว

    • เทคนิคการเฝ้าระวังแบบลับๆ ช่วยหลีกเลี่ยงการตรวจจับ

    แตกต่างจากมัลแวร์ Android หลายตระกูลที่อาศัยการบันทึกหน้าจอผ่าน MediaProjection Rokarolla ใช้กลยุทธ์การสอดแนมที่เงียบกว่า แทนที่จะแสดงการแจ้งเตือนการบันทึกให้เห็น มันจะจับภาพหน้าจอผ่านบริการการเข้าถึง (Accessibility Services) บีบอัดเป็นไฟล์ PNG และส่งไฟล์เหล่านั้นทีละไฟล์ไปยังผู้ควบคุม

    วิธีการนี้ช่วยลดโอกาสในการตรวจจับ ในขณะเดียวกันก็ยังคงให้ผู้โจมตีได้เห็นรายละเอียดกิจกรรมของผู้ใช้ได้อย่างชัดเจน เมื่อเทียบกับการใช้งาน VNC แบบซ่อนเร้นที่ใช้โดยตระกูลมัลแวร์ เช่น HOOK และ Klopatra การตรวจสอบด้วยการจับภาพหน้าจอของ Rokarolla นั้นทั้งง่ายกว่าและแนบเนียนกว่า

    โครงสร้างพื้นฐานที่ยืดหยุ่นและแนวโน้มมัลแวร์ที่ขยายตัว

    มัลแวร์นี้ถูกสร้างขึ้นมาเพื่อทนทานต่อความพยายามในการขัดขวาง มีการฝังโดเมนควบคุมและสั่งการสำรองหลายโดเมนไว้ในโค้ด และผู้ปฏิบัติงานสามารถกำหนดเซิร์ฟเวอร์เพิ่มเติมได้แบบไดนามิกเมื่อใดก็ตามที่ต้องการ ด้วยเหตุนี้ การปิดใช้งานเซิร์ฟเวอร์สั่งการเพียงเครื่องเดียวจึงแทบไม่มีผลกระทบต่อการทำงานโดยรวมเลย

    ชุดคำสั่งที่ครอบคลุมของมันนั้นเกินกว่า 107 คำสั่งที่เคยมีการบันทึกไว้ในมัลแวร์โทรจัน HOOK ที่โจมตีระบบธนาคาร ซึ่งสะท้อนให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นของมัลแวร์ธนาคารบน Android ที่พบเห็นตลอดปี 2026 วิธีการโจมตีเป็นไปตามรูปแบบที่คุ้นเคยซึ่งพบเห็นได้บ่อยขึ้นเรื่อยๆ:

    • เผยแพร่ผ่านโปรแกรมติดตั้งแอปพลิเคชันปลอม
    • การใช้บริการช่วยเหลือด้านการเข้าถึงในทางที่ผิดเพื่อยกระดับสิทธิ์และควบคุมอุปกรณ์
    • การใช้โอเวอร์เลย์ที่สร้างจาก HTML เพื่อเก็บรวบรวมข้อมูลประจำตัวและข้อมูลที่ละเอียดอ่อน

    มาตรการป้องกันยังคงมีความสำคัญอย่างยิ่ง

    เนื่องจาก Rokarolla เป็นมัลแวร์ ไม่ใช่ช่องโหว่ของซอฟต์แวร์ จึงไม่มีแพทช์รักษาความปลอดภัยใดที่สามารถกำจัดภัยคุกคามนี้ได้ การป้องกันจึงขึ้นอยู่กับการปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยของ Android ที่ได้รับการยอมรับ

    ควรติดตั้งแอปพลิเคชันจาก Google Play Store อย่างเป็นทางการเท่านั้น ควรเปิดใช้งาน Google Play Protect ตลอดเวลา และหากมีการขอสิทธิ์การเข้าถึง (Accessibility permissions) โดยไม่คาดคิด ควรพิจารณาว่าเป็นสัญญาณเตือนที่สำคัญ สิทธิ์การเข้าถึงเป็นพื้นฐานของห่วงโซ่การโจมตีของ Rokarolla และช่วยให้สามารถใช้งานความสามารถที่อันตรายที่สุดหลายอย่างได้

    ยังไม่ทราบที่มาที่ไปแน่ชัด

    ณ เวลาที่รายงานข่าวนี้ Rokarolla ยังไม่ได้รับการเชื่อมโยงกับผู้ก่อภัยคุกคามหรือกลุ่มอาชญากรไซเบอร์ใด ๆ ที่ถูกเปิดเผยต่อสาธารณะ อย่างไรก็ตาม การออกแบบของมันแสดงให้เห็นอย่างชัดเจนถึงความพยายามโดยเจตนาที่จะหลีกเลี่ยงการป้องกันที่ผู้ใช้ Android ได้รับการสนับสนุนให้ไว้วางใจ ซึ่งรวมถึง Play Protect, ระบบรักษาความปลอดภัยหน้าจอล็อก และการควบคุมความปลอดภัยในตัวอื่น ๆ

    ความสามารถของมัลแวร์นี้เน้นให้เห็นถึงวิวัฒนาการอย่างต่อเนื่องของโทรจันสำหรับธุรกรรมทางการเงินบนระบบแอนดรอยด์ และความซับซ้อนที่เพิ่มขึ้นของภัยคุกคามทางมือถือที่มุ่งหวังผลกำไรทางการเงิน

    กำลังโหลด...