เตือนภัย! มัลแวร์ Android ตัวใหม่ 'RatOn' สุดอันตราย! รวมร่างแฮก NFC, โอนเงินอัตโนมัติ, ยึดกระเป๋าคริปโต และเรียกค่าไถ่

 

พบมัลแวร์บน Android ตัวใหม่ชื่อ RatOn ที่มีการพัฒนาอย่างก้าวกระโดด จากเดิมที่เป็นเพียงเครื่องมือธรรมดาที่ใช้โจมตีผ่านการสื่อสารระยะใกล้ (Near Field Communication - NFC) ได้กลายมาเป็นโทรจันควบคุมระยะไกล (Remote Access Trojan - RAT) ที่มีความสามารถซับซ้อนสูง พร้อมระบบโอนเงินอัตโนมัติ (Automated Transfer System - ATS) เพื่อทำการฉ้อโกงจากอุปกรณ์ของเหยื่อโดยตรง

"RatOn ได้ผสานการโจมตีแบบซ้อนทับ (Overlay Attack) แบบดั้งเดิม เข้ากับการโอนเงินอัตโนมัติ และฟังก์ชันการโจมตีผ่าน NFC (NFC Relay) ซึ่งทำให้มันกลายเป็นภัยคุกคามที่ทรงพลังอย่างยิ่ง" บริษัทรักษาความปลอดภัยบนมือถือจากเนเธอร์แลนด์กล่าวในรายงานที่เผยแพร่ล่าสุด

โทรจันธนาคารตัวนี้ถูกออกแบบมาเพื่อยึดครองบัญชี (Account Takeover) ของแอปพลิเคชันกระเป๋าเงินคริปโตเคอร์เรนซีชื่อดังหลายตัว เช่น MetaMask, Trust, Blockchain.com และ Phantom ขณะเดียวกันก็สามารถทำการโอนเงินอัตโนมัติโดยใช้ช่องโหว่ของ George Česko ซึ่งเป็นแอปพลิเคชันธนาคารที่ใช้กันอย่างแพร่หลายในสาธารณรัฐเช็ก

ยิ่งไปกว่านั้น มันยังสามารถโจมตีในลักษณะแรนซัมแวร์ (Ransomware) โดยใช้หน้าจอซ้อนทับที่สร้างขึ้นเองเพื่อล็อกอุปกรณ์และเรียกค่าไถ่ ซึ่งเป็นที่น่าสังเกตว่า มัลแวร์ HOOK บน Android ก็เคยถูกพบว่าใช้เทคนิคหน้าจอซ้อนทับในลักษณะเดียวกันเพื่อแสดงข้อความขู่กรรโชก

ตัวอย่างแรกของ RatOn ถูกตรวจพบเมื่อวันที่ 5 กรกฎาคม 2025 และมีการค้นพบไฟล์ที่เกี่ยวข้องเพิ่มเติมล่าสุดเมื่อวันที่ 29 สิงหาคม 2025 ซึ่งบ่งชี้ว่าผู้โจมตียังคงพัฒนามันอย่างต่อเนื่อง ช่องทางการแพร่กระจายของ RatOn คือการใช้หน้า Play Store ปลอมที่แอบอ้างว่าเป็นแอป TikTok เวอร์ชันสำหรับผู้ใหญ่ (TikTok 18+) เพื่อหลอกให้ผู้ใช้ติดตั้งแอปพลิเคชันตัวปล่อย (Dropper) ที่จะนำโทรจันเข้ามาในเครื่อง ขณะนี้ยังไม่ชัดเจนว่าผู้ใช้ถูกล่อลวงไปยังเว็บไซต์เหล่านี้ได้อย่างไร แต่กิจกรรมส่วนใหญ่มุ่งเป้าไปที่ผู้ใช้ที่พูดภาษาเช็กและสโลวัก

เมื่อแอปตัวปล่อยถูกติดตั้ง มันจะขออนุญาตจากผู้ใช้เพื่อติดตั้งแอปพลิเคชันจากแหล่งที่ไม่รู้จัก (Third-party sources) เพื่อหลีกเลี่ยงมาตรการความปลอดภัยที่สำคัญของ Google ซึ่งออกแบบมาเพื่อป้องกันการใช้บริการการเข้าถึง (Accessibility Services) ของ Android ในทางที่ผิด

จากนั้น เพย์โหลด (Payload) ในขั้นที่สองจะขอสิทธิ์ผู้ดูแลระบบ (Device Administration) และบริการการเข้าถึง (Accessibility Services) รวมถึงสิทธิ์ในการอ่าน/เขียนรายชื่อติดต่อ และจัดการการตั้งค่าระบบ เพื่อให้สามารถทำงานได้เต็มรูปแบบ ซึ่งรวมถึงการให้สิทธิ์เพิ่มเติมที่จำเป็นแก่ตัวเอง และดาวน์โหลดมัลแวร์ในขั้นที่สาม ซึ่งก็คือมัลแวร์ NFSkate ที่สามารถโจมตีแบบ NFC Relay โดยใช้เทคนิคที่เรียกว่า Ghost Tap ซึ่งเคยถูกเปิดเผยครั้งแรกเมื่อเดือนพฤศจิกายน 2024

"ฟีเจอร์การยึดครองบัญชีและการโอนเงินอัตโนมัติแสดงให้เห็นว่าผู้โจมตีรู้จักการทำงานภายในของแอปพลิเคชันเป้าหมายเป็นอย่างดี" ThreatFabric กล่าว พร้อมอธิบายว่ามัลแวร์ตัวนี้ถูกสร้างขึ้นมาใหม่ทั้งหมดและไม่มีโค้ดที่เหมือนกับมัลแวร์ธนาคารบน Android ตัวอื่นๆ

นอกจากนี้ RatOn ยังสามารถแสดงหน้าจอซ้อนทับที่ดูเหมือนจดหมายเรียกค่าไถ่ โดยอ้างว่าโทรศัพท์ของผู้ใช้ถูกล็อกเนื่องจากดูและเผยแพร่สื่อลามกอนาจารเด็ก และต้องการให้จ่ายเงิน $200 ในรูปแบบคริปโตฯ ภายในสองชั่วโมงเพื่อปลดล็อก

คาดว่าจดหมายเรียกค่าไถ่นี้ถูกออกแบบมาเพื่อสร้างความตื่นตระหนกและบีบให้เหยื่อรีบเปิดแอปคริปโตฯ เพื่อทำธุรกรรมทันที ซึ่งจะเปิดโอกาสให้ผู้โจมตีสามารถดักจับรหัส PIN ของอุปกรณ์ได้ในกระบวนการนี้

ThreatFabric อธิบายถึงคุณสมบัติการยึดบัญชีว่า "เมื่อได้รับคำสั่ง RatOn สามารถเปิดแอปกระเป๋าเงินคริปโตฯ เป้าหมาย ปลดล็อกด้วย PIN ที่ขโมยมา คลิกองค์ประกอบต่างๆ บนหน้าจอที่เกี่ยวข้องกับการตั้งค่าความปลอดภัย และในขั้นตอนสุดท้ายก็จะเปิดเผย Secret Phrases (วลีกู้คืนบัญชี)"

ข้อมูลที่ละเอียดอ่อนนี้จะถูกบันทึกโดยส่วนประกอบ Keylogger และถูกส่งกลับไปยังเซิร์ฟเวอร์ที่อยู่ภายใต้การควบคุมของผู้โจมตี ซึ่งพวกเขาสามารถใช้ Seed Phrase เหล่านี้เพื่อเข้าถึงบัญชีของเหยื่อโดยไม่ได้รับอนุญาตและขโมยสินทรัพย์คริปโตฯ ไปได้

ตัวอย่างคำสั่งที่ RatOn สามารถรับได้:

• send_push: ส่งการแจ้งเตือน (Push Notification) ปลอม

• screen_lock: เปลี่ยนการตั้งค่าเวลาล็อกหน้าจอของอุปกรณ์

• WhatsApp: เปิดแอปพลิเคชัน WhatsApp

• app_inject: เปลี่ยนรายชื่อแอปพลิเคชันทางการเงินที่เป็นเป้าหมาย

• update_device: ส่งรายชื่อแอปที่ติดตั้งพร้อมข้อมูลจำเพาะของอุปกรณ์ (Device Fingerprint)

• send_sms: ส่งข้อความ SMS โดยใช้ Accessibility Services

• Facebook: เปิดแอปพลิเคชัน Facebook

• nfs: ดาวน์โหลดและเรียกใช้มัลแวร์ NFSkate (ไฟล์ APK)

• transfer: ทำการโอนเงินอัตโนมัติ (ATS) โดยใช้แอป George Česko

• lock: ล็อกอุปกรณ์โดยใช้สิทธิ์ผู้ดูแลระบบ

• add_contact: สร้างรายชื่อติดต่อใหม่ตามชื่อและเบอร์โทรที่กำหนด

• record: เริ่มการบันทึกหน้าจอ (Screen Casting)

• display: เปิด/ปิดการแสดงผลหน้าจอ

"กลุ่มผู้โจมตีพุ่งเป้าไปที่สาธารณรัฐเช็กเป็นหลัก โดยมีแนวโน้มว่าสโลวาเกียจะเป็นเป้าหมายต่อไป" ThreatFabric กล่าว "เหตุผลที่มุ่งเน้นไปที่แอปธนาคารเพียงแอปเดียวยังไม่ชัดเจน แต่การที่ระบบโอนเงินอัตโนมัติต้องใช้หมายเลขบัญชีธนาคารในประเทศ ชี้ให้เห็นว่าผู้โจมตีอาจร่วมมือกับบัญชีม้าในท้องถิ่น"

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก