ZeroDayRAT สปายแวร์มือถือ

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแพลตฟอร์มสปายแวร์บนมือถือที่ซับซ้อนชื่อ ZeroDayRAT ซึ่งปัจจุบันถูกโปรโมตบน Telegram ว่าเป็นโซลูชันครบวงจรสำหรับการดึงข้อมูลที่ละเอียดอ่อนและทำการสอดแนมแบบเรียลไทม์บนอุปกรณ์ Android และ iOS แพลตฟอร์มนี้ถูกวางตลาดในฐานะชุดเครื่องมือสอดแนมที่พร้อมใช้งาน ซึ่งนอกเหนือไปจากการเก็บรวบรวมข้อมูลพื้นฐานแล้ว ยังก้าวไปสู่การเฝ้าระวังเชิงรุกและการแสวงหาผลประโยชน์ทางการเงินโดยตรงอีกด้วย

ผู้ให้บริการมีช่องทาง Telegram เฉพาะสำหรับการขาย การให้ความช่วยเหลือลูกค้า และการอัปเดตอย่างต่อเนื่อง ทำให้ผู้ซื้อสามารถเข้าถึงระบบนิเวศสปายแวร์ที่มีฟังก์ชันการทำงานครบถ้วนได้อย่างเป็นศูนย์กลาง รูปแบบการจัดจำหน่ายที่คล่องตัวนี้ช่วยลดอุปสรรคในการเข้าถึงสำหรับอาชญากรไซเบอร์ที่ต้องการความสามารถในการสอดแนมขั้นสูงได้อย่างมาก

ความเข้ากันได้กับอุปกรณ์หลากหลายและการใช้งานที่ยืดหยุ่น

ZeroDayRAT รองรับระบบปฏิบัติการ Android เวอร์ชัน 5 ถึง 16 และ iOS เวอร์ชันสูงสุด 26 ทำให้ครอบคลุมอุปกรณ์ได้หลากหลาย เชื่อกันว่ามัลแวร์นี้แพร่กระจายผ่านแคมเปญหลอกลวงทางสังคมและตลาดแอปพลิเคชันปลอมที่ออกแบบมาเพื่อหลอกลวงผู้ใช้ให้ติดตั้งแอปพลิเคชันที่เป็นอันตราย

ผู้ซื้อจะได้รับโปรแกรมสร้างมัลแวร์ที่สร้างไฟล์ไบนารีที่เป็นอันตรายตามต้องการ ไฟล์ไบนารีเหล่านี้ได้รับการจัดการผ่านแผงควบคุมออนไลน์ที่ผู้ใช้งานสามารถติดตั้งบนเซิร์ฟเวอร์ของตนเอง ทำให้พวกเขามีอำนาจควบคุมดูแลอุปกรณ์ที่ติดมัลแวร์ได้อย่างเต็มที่

ระบบอัจฉริยะของอุปกรณ์และการติดตามตำแหน่งที่ครอบคลุม

เมื่อติดตั้งแล้ว ZeroDayRAT จะช่วยให้ผู้โจมตีสามารถมองเห็นข้อมูลในอุปกรณ์ที่ถูกโจมตีได้อย่างละเอียด ผ่านแผงควบคุมการจัดการที่โฮสต์เอง ผู้โจมตีสามารถเข้าถึงข้อมูลโดยละเอียด เช่น รุ่นของอุปกรณ์ เวอร์ชันระบบปฏิบัติการ สถานะแบตเตอรี่ ข้อมูลซิมการ์ด ข้อมูลผู้ให้บริการ การใช้งานแอปพลิเคชัน เนื้อหาการแจ้งเตือน และตัวอย่างข้อความ SMS ล่าสุด ข้อมูลเหล่านี้ช่วยให้ผู้โจมตีสามารถสร้างโปรไฟล์เหยื่อโดยละเอียด รวมถึงรูปแบบการสื่อสารและแอปพลิเคชันที่ใช้งานบ่อย

แพลตฟอร์มนี้ยังบันทึกพิกัด GPS แบบเรียลไทม์และแสดงบนแผนที่โดยใช้ Google Maps พร้อมทั้งบันทึกประวัติการเคลื่อนไหวของเหยื่อ การติดตามตำแหน่งทางภูมิศาสตร์อย่างต่อเนื่องนี้ทำให้เครื่องที่ติดไวรัสกลายเป็นเครื่องมือเฝ้าระวังอย่างต่อเนื่อง

การระบุบัญชีและการเปิดเผยข้อมูลประจำตัว

คุณลักษณะที่น่ากังวลเป็นพิเศษคือแผง 'บัญชี' ซึ่งแสดงรายการบัญชีทั้งหมดที่ลงทะเบียนในอุปกรณ์ที่ติดไวรัส ซึ่งรวมถึงบริการที่ใช้กันอย่างแพร่หลาย เช่น:

• Google, WhatsApp, อินสตาแกรม, Facebook, โทรเลข
• Amazon, Flipkart, PhonePe, Paytm และ Spotify

ชื่อผู้ใช้หรือที่อยู่อีเมลที่เกี่ยวข้องก็อาจถูกเปิดเผยเช่นกัน ทำให้สามารถขโมยข้อมูลประจำตัว สร้างโปรไฟล์ตัวตน และพยายามเข้ายึดบัญชีได้

การเฝ้าระวังขั้นสูงและการข้ามการตรวจสอบสิทธิ์แบบสองปัจจัย

ZeroDayRAT มีความสามารถในการสอดแนมและดักฟังข้อมูลอย่างครอบคลุม ซึ่งรวมถึง:

• การบันทึกการกดแป้นพิมพ์เพื่อดักจับข้อมูลประจำตัวและการสื่อสารส่วนตัว
• การดึงข้อมูลข้อความ SMS รวมถึงรหัสผ่านใช้ครั้งเดียว (OTP) ที่ใช้ในการข้ามขั้นตอนการตรวจสอบสิทธิ์แบบสองขั้นตอน
• การสตรีมภาพจากกล้องแบบเรียลไทม์และการเปิดใช้งานไมโครโฟนสำหรับการตรวจสอบภาพและเสียงแบบสดๆ

คุณสมบัติเหล่านี้ทำให้ฝ่ายตรงข้ามสามารถทำการสอดแนมแบบลงมือปฏิบัติและโต้ตอบได้ โดยเปลี่ยนอุปกรณ์ที่ถูกบุกรุกให้กลายเป็นเครื่องมือรวบรวมข้อมูลข่าวกรองจากระยะไกล

โมดูลตรวจจับการโจรกรรมสกุลเงินดิจิทัลและการโจรกรรมทางธนาคารแบบบูรณาการ

นอกเหนือจากการสอดแนมแล้ว มัลแวร์นี้ยังผสานกลไกการขโมยทางการเงินอีกด้วย ส่วนประกอบที่ขโมยคริปโตเคอร์เรนซีจะสแกนหาแอปพลิเคชันกระเป๋าเงินดิจิทัล เช่น MetaMask, Trust Wallet, Binance และ Coinbase เมื่อเหยื่อคัดลอกที่อยู่กระเป๋าเงินไปยังคลิปบอร์ด มัลแวร์จะแทนที่ด้วยที่อยู่กระเป๋าเงินที่ผู้โจมตีควบคุมอยู่ และเปลี่ยนเส้นทางการทำธุรกรรมโดยที่ผู้ใช้ไม่รู้ตัว

โมดูลโจรกรรมข้อมูลธนาคารโดยเฉพาะยังมุ่งเป้าไปที่บริการชำระเงินดิจิทัลต่างๆ รวมถึง Apple Pay, Google Pay, PayPal และ PhonePe PhonePe ใช้ประโยชน์จาก Unified Payments Interface (UPI) ของอินเดีย ซึ่งเป็นโปรโตคอลที่ออกแบบมาเพื่ออำนวยความสะดวกในการทำธุรกรรมระหว่างธนาคารแบบบุคคลต่อบุคคลและระหว่างบุคคลกับร้านค้า ทำให้เป็นเป้าหมายที่น่าสนใจสำหรับผู้ที่มุ่งหวังผลประโยชน์ทางการเงิน

ภัยคุกคามการจารกรรมผ่านมือถือที่เปลี่ยนแปลงไป

ZeroDayRAT คือกรอบการทำงานเจาะระบบมือถือแบบครบวงจร ความสามารถที่ก่อนหน้านี้ต้องอาศัยทรัพยากรจากรัฐบาลหรือการพัฒนาช่องโหว่เฉพาะทาง ตอนนี้สามารถใช้งานได้ในเชิงพาณิชย์ผ่านทาง Telegram ผู้ปฏิบัติการเพียงคนเดียวสามารถเข้าถึงข้อมูลตำแหน่งที่ตั้ง การสื่อสาร บัญชีการเงิน ภาพจากกล้อง ข้อมูลไมโครโฟน และการกดแป้นพิมพ์ของเหยื่อผ่านทางเบราว์เซอร์ได้

มัลแวร์นี้สอดคล้องกับแนวโน้มที่กว้างขึ้นของภัยคุกคามบนมือถือที่ใช้ประโยชน์จากแคมเปญฟิชชิงและการแทรกซึมเข้าไปในตลาดแอปพลิเคชันอย่างเป็นทางการ ผู้โจมตีได้ค้นพบวิธีการต่างๆ ซ้ำแล้วซ้ำเล่าเพื่อหลีกเลี่ยงมาตรการป้องกันที่ Apple และ Google นำมาใช้ โดยมักจะหลอกล่อผู้ใช้ให้ติดตั้งแอปพลิเคชันที่เป็นอันตราย

บนอุปกรณ์ iOS กลุ่มแฮ็กเกอร์มักใช้ประโยชน์จากกลไกการจัดสรรแอปพลิเคชันสำหรับองค์กร ซึ่งอนุญาตให้องค์กรต่างๆ แจกจ่ายแอปพลิเคชันนอกเหนือจาก App Store อย่างเป็นทางการ โดยการจำหน่ายชุดซอฟต์แวร์สอดแนมที่รวมคุณสมบัติการสอดแนมและการโจรกรรมทางการเงิน กลุ่มแฮ็กเกอร์จึงลดอุปสรรคทางเทคนิคสำหรับอาชญากรไซเบอร์ที่มีประสบการณ์น้อย ในขณะเดียวกันก็เพิ่มความซับซ้อนและความต่อเนื่องของการโจมตีที่มุ่งเป้าไปที่อุปกรณ์เคลื่อนที่

ZeroDayRAT ตอกย้ำความเป็นจริงที่สำคัญประการหนึ่ง นั่นคือ ความสามารถในการสอดแนมผ่านมือถือและการแสวงหาผลประโยชน์ทางการเงินขั้นสูงนั้นไม่ได้จำกัดอยู่เฉพาะกลุ่มผู้คุกคามระดับสูงอีกต่อไป แต่เข้าถึงได้ง่ายขึ้นเรื่อยๆ ในกลุ่มอาชญากรไซเบอร์ใต้ดิน