Herodotus: มัลแวร์ Android ตัวใหม่สุดร้ายกาจ แกล้งพิมพ์เหมือนคน หลบระบบต้านโกง!
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของมัลแวร์เจาะระบบธนาคารบน Android ตัวใหม่ล่าสุดที่มีชื่อว่า 'Herodotus' ซึ่งถูกพบเห็นในปฏิบัติการโจมตีอย่างแข็งขันในประเทศอิตาลีและบราซิล โดยมีเป้าหมายเพื่อเข้าควบคุมอุปกรณ์ (Device Takeover - DTO)
บริษัท ThreatFabric ผู้เชี่ยวชาญด้านความปลอดภัยสัญชาติดัตช์ระบุในรายงานว่า "Herodotus ถูกออกแบบมาเพื่อทำการเข้าควบคุมอุปกรณ์ พร้อมทั้งพยายามเลียนแบบพฤติกรรมของมนุษย์ เพื่อหลบเลี่ยงการตรวจจับโดยระบบไบโอเมตริกเชิงพฤติกรรม (behaviour biometrics detection)"
ฉลาดกว่าเดิมด้วยการ 'หน่วงเวลา' แบบสุ่ม
สิ่งที่ทำให้อันตรายของมัลแวร์ตัวนี้โดดเด่นคือความสามารถในการ "ทำให้การโกงดูเป็นธรรมชาติแบบมนุษย์" และหลีกเลี่ยงการตรวจจับที่อิงกับระยะเวลา (timing-based detections) โดยเฉพาะอย่างยิ่ง มันมีตัวเลือกในการใส่การหน่วงเวลาแบบสุ่ม เมื่อเริ่มต้นการกระทำจากระยะไกล เช่น การพิมพ์ข้อความบนอุปกรณ์
ThreatFabric อธิบายว่า การหน่วงเวลาที่ระบุนั้นอยู่ในช่วง 300 ถึง 3000 มิลลิวินาที (0.3 - 3 วินาที) ซึ่งการสุ่มช่วงเวลาหน่วงระหว่างเหตุการณ์การป้อนข้อความแบบนี้สอดคล้องกับวิธีการที่ผู้ใช้จริงจะพิมพ์ข้อความ ซึ่งผู้โจมตีพยายามที่จะหลีกเลี่ยงการถูกตรวจจับโดยโซลูชันต้านการฉ้อโกงที่จับความเร็วในการป้อนข้อความที่รวดเร็วแบบเครื่องจักร
เบื้องหลังและวิธีการทำงาน
- ที่มา: Herodotus ถูกโฆษณาครั้งแรกในฟอรัมใต้ดินเมื่อวันที่ 7 กันยายน 2568 ในรูปแบบ "Malware-as-a-Service (MaaS)" โดยโอ้อวดความสามารถในการทำงานบนอุปกรณ์ Android เวอร์ชัน 9 ถึง 16
- การพัฒนา: แม้จะไม่ใช่การพัฒนาโดยตรงจากมัลแวร์ชื่อดังอย่าง Brokewell แต่ดูเหมือนว่าจะนำส่วนประกอบบางอย่างมาใช้ รวมถึงความคล้ายคลึงกันในเทคนิคการซ่อนเร้น (obfuscation)
- การแพร่กระจาย: มัลแวร์นี้ถูกแจกจ่ายผ่านแอปพลิเคชันตัวหลอก (dropper apps) ที่ปลอมตัวเป็น Google Chrome (ใช้ชื่อแพ็กเกจ "com.cd3.app") ผ่านการโจมตีแบบ SMS Phishing หรือกลโกงทางสังคมอื่น ๆ
- การใช้ช่องโหว่: Herodotus ใช้ประโยชน์จากบริการช่วยการเข้าถึง (accessibility services) เพื่อโต้ตอบกับหน้าจอ, แสดงหน้าจอซ้อนทับแบบทึบเพื่อซ่อนกิจกรรมอันตราย, และขโมยข้อมูลรับรอง (Credential Theft) โดยการแสดงหน้าจอเข้าสู่ระบบปลอมบนแอปทางการเงิน
- ความสามารถอื่น ๆ: ขโมยรหัส 2FA ที่ส่งทาง SMS, ดักจับทุกสิ่งที่แสดงบนหน้าจอ, ให้สิทธิ์ตัวเองเพิ่มเติม, ขโมย PIN หรือรูปแบบการปลดล็อกหน้าจอ, และติดตั้งไฟล์ APK จากระยะไกล
ขยายเป้าหมายและภัยคุกคามคู่ขนาน
นอกจากนี้ ThreatFabric ยังได้รับหน้าจอซ้อนทับ (overlay pages) ที่ Herodotus ใช้เพื่อกำหนดเป้าหมายองค์กรทางการเงินในสหรัฐอเมริกา, ตุรกี, สหราชอาณาจักร และโปแลนด์ รวมถึงกระเป๋าเงินและตลาดซื้อขาย คริปโทเคอร์เรนซี ซึ่งบ่งชี้ว่าผู้ดำเนินการกำลังพยายามขยายขอบเขตการโจมตีอย่างจริงจัง
ภัยคุกคาม Android อีกตัว: GhostGrab
ในเวลาเดียวกัน CYFIRMA ยังได้เปิดเผยรายละเอียดของมัลแวร์ Android ขั้นสูงอีกตัวชื่อ GhostGrab ที่สามารถขโมยข้อมูลรับรองทางการเงินได้อย่างเป็นระบบ พร้อมทั้งทำการขุดเหรียญ Monero คริปโทเคอร์เรนซีอย่างลับ ๆ บนอุปกรณ์ที่ติดเชื้อ ซึ่งสร้าง "แหล่งรายได้คู่" ให้กับผู้โจมตี โดยดูเหมือนจะมุ่งเป้าไปที่ผู้ใช้ Android ในอินเดีย
- ลักษณะ: GhostGrab ทำงานเป็นภัยคุกคามแบบไฮบริด โดยรวมการขุดคริปโทฯ อย่างลับ ๆ เข้ากับความสามารถในการดึงข้อมูลที่ครอบคลุม
- การขโมยข้อมูล: ขโมยข้อมูลทางการเงินที่ละเอียดอ่อน รวมถึงข้อมูลประจำตัวของธนาคาร, รายละเอียดบัตรเดบิต, และรหัสผ่านครั้งเดียว (OTP) ผ่านการดักจับ SMS
- วิธีการ: แอปตัวหลอกปลอมตัวเป็นแอปทางการเงิน ขออนุญาตติดตั้งแพ็กเกจเพิ่มเติมเพื่ออำนวยความสะดวกในการติดตั้ง APK ภายในแอปโดยไม่ต้องผ่าน Google Play Store จากนั้นเพย์โหลดหลักจะขอสิทธิ์ความเสี่ยงสูงเพื่อเปิดใช้งานการโอนสาย, ขโมยข้อมูล SMS, และแสดงหน้า WebView ปลอมที่เลียนแบบแบบฟอร์ม KYC เพื่อรวบรวมข้อมูลส่วนบุคคล เช่น รายละเอียดบัตรและรหัส ATM
ภัยคุกคามทางไซเบอร์บน Android ยังคงพัฒนาอย่างต่อเนื่อง โดยเฉพาะมัลแวร์ใหม่ ๆ เช่น Herodotus ที่ใช้กลยุทธ์ที่ชาญฉลาดในการหลบเลี่ยงระบบป้องกัน ซึ่งผู้ใช้ควรระมัดระวังเป็นอย่างยิ่งในการดาวน์โหลดแอปพลิเคชัน โดยเฉพาะที่มาจากการแจ้งเตือน SMS Phishing หรือช่องทางที่ไม่เป็นทางการ
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก