อันตรายรอบตัว! Fantasy Hub: มัลแวร์เรียกค่าไถ่ Android แปลงร่าง Telegram ให้เป็นฐานบัญชาการของแฮกเกอร์ (MaaS) ภัยร้ายที่คุกคามการเงินและข้อมูลส่วนตัว!
ทีมนักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของมัลแวร์ประเภทม้าโทรจันเข้าควบคุมระยะไกล (RAT) บนระบบปฏิบัติการ Android ตัวใหม่ล่าสุดที่ชื่อว่า "Fantasy Hub" โดยมัลแวร์ตัวนี้กำลังถูกวางขายอย่างโจ่งแจ้งในกลุ่ม Telegram ที่ใช้ภาษารัสเซีย ภายใต้โมเดลธุรกิจที่เรียกว่า "มัลแวร์ในรูปแบบบริการ" (Malware-as-a-Service หรือ MaaS)
ผู้ขายได้โฆษณาว่ามัลแวร์นี้มีความสามารถในการ ควบคุมอุปกรณ์และสอดแนมข้อมูล ได้อย่างสมบูรณ์ ทำให้ผู้ไม่หวังดีสามารถเข้าถึงและขโมยข้อมูลสำคัญได้มากมาย ไม่ว่าจะเป็น ข้อความ SMS, รายชื่อผู้ติดต่อ, บันทึกการโทร, รูปภาพและวิดีโอ รวมถึงความสามารถในการ ดักจับ, ตอบกลับ, และลบการแจ้งเตือน ที่เข้ามาทั้งหมด
"นี่คือผลิตภัณฑ์ MaaS ที่มาพร้อมเอกสาร, วิดีโอสอนการใช้งาน และโมเดลการสมัครสมาชิกที่ขับเคลื่อนด้วยบอท ซึ่งช่วยลดอุปสรรคและทำให้แฮกเกอร์มือใหม่สามารถเริ่มต้นได้ง่าย" Vishnu Pratapagiri นักวิจัยจาก Zimperium กล่าวในรายงานเมื่อสัปดาห์ที่แล้ว
ภัยคุกคามต่อการเงินและองค์กร
มัลแวร์นี้เป็นภัยคุกคามโดยตรงต่อการทำธุรกรรมทางการเงิน เพราะมันสามารถสร้างหน้าต่างปลอมสำหรับธนาคาร (Fake Overlays) และยัง ใช้สิทธิ์เป็นแอปจัดการ SMS เริ่มต้น เพื่อดักจับข้อความ SMS ที่เป็นรหัสยืนยันตัวตนแบบสองปัจจัย (2FA) ซึ่งเป็นอันตรายอย่างยิ่งต่อลูกค้าองค์กรที่ใช้นโยบาย "นำอุปกรณ์ส่วนตัวมาใช้ทำงาน" (BYOD) รวมถึงพนักงานที่ต้องพึ่งพาการทำธุรกรรมผ่าน Mobile Banking หรือแอปพลิเคชันที่มีข้อมูลละเอียดอ่อน
ผู้ที่โฆษณาขาย Fantasy Hub มักเรียกเหยื่อว่า "Mammoths" (แมมมอธ) ซึ่งเป็นคำที่อาชญากรไซเบอร์ชาวรัสเซียมักใช้เรียกเป้าหมาย
เปิดกลยุทธ์การขายแบบ MaaS
ลูกค้าที่ซื้อบริการนี้จะได้รับคำแนะนำอย่างละเอียดในการสร้าง หน้าลงทะเบียนปลอมของ Google Play Store เพื่อใช้ในการแจกจ่ายมัลแวร์ รวมถึงขั้นตอนการหลีกเลี่ยงข้อจำกัดต่างๆ ผู้ซื้อสามารถเลือกไอคอน, ชื่อ และหน้าตาของเพจปลอมที่ต้องการให้ดูน่าเชื่อถือได้ตามใจชอบ
บอทที่จัดการการสมัครสมาชิกและเครื่องมือสร้างมัลแวร์ (Builder) ยังอนุญาตให้ผู้ไม่หวังดีอัปโหลดไฟล์แอปพลิเคชัน (APK) ใดๆ ก็ตาม และบอทจะส่ง ไฟล์ APK ที่ถูกฝังโทรจัน (Trojanized Version) กลับมาให้ทันที
ราคาบริการ:
- รายสัปดาห์: $200 (สำหรับ 1 เซสชันใช้งาน)
- รายเดือน: $500
- รายปี: $4,500
การทำงานและเทคนิคหลอกล่อ
- แผงควบคุม (C2 Panel): มีรายละเอียดเกี่ยวกับอุปกรณ์ที่ถูกบุกรุกและสถานะการสมัครสมาชิก ผู้โจมตีสามารถออกคำสั่งเพื่อเก็บข้อมูลต่างๆ ได้
- การเลียนแบบ: ผู้ขายสอนให้ผู้ซื้อสร้างบอท, เก็บ Chat ID, และกำหนดค่าโทเค็น เพื่อให้การแจ้งเตือนความสำเร็จของการโจมตีถูกส่งไปยังแชทที่กำหนดไว้ (ซึ่งคล้ายกับ HyperRat ที่ตรวจพบก่อนหน้านี้)
- การใช้สิทธิ์ SMS: มัลแวร์นี้เลียนแบบเทคนิคของมัลแวร์ ClayRAT โดยการ ล่อหลอกให้ผู้ใช้ตั้งค่ามันเป็นแอปพลิเคชันจัดการ SMS เริ่มต้น ทำให้สามารถเข้าถึงสิทธิ์ที่สำคัญหลายอย่างในคราวเดียว เช่น ข้อความ SMS, รายชื่อผู้ติดต่อ, กล้อง, และไฟล์ โดยไม่ต้องขอสิทธิ์ทีละรายการในระหว่างการใช้งาน
- การปลอมตัว: แอปพลิเคชันตัวหลอก (Dropper apps) ถูกพบว่าปลอมตัวเป็น "การอัปเดต Google Play" เพื่อสร้างความชอบธรรมและหลอกให้ผู้ใช้ยินยอมให้สิทธิ์ที่จำเป็น
- เป้าหมายการเงิน: นอกจากจะใช้หน้าจอซ้อนทับปลอม (Fake Overlays) เพื่อขโมยข้อมูลบัญชีธนาคารของสถาบันการเงินรัสเซีย เช่น Alfa, PSB, T-Bank และ Sberbank แล้ว สปายแวร์ยังใช้โครงการโอเพนซอร์สเพื่อ สตรีมเนื้อหาจากกล้องและไมโครโฟนแบบเรียลไทม์ผ่าน WebRTC
แนวโน้มภัยคุกคามที่น่ากังวล
Vishnu Pratapagiri สรุปว่า "การเติบโตอย่างรวดเร็วของปฏิบัติการ Malware-as-a-Service (MaaS) อย่าง Fantasy Hub แสดงให้เห็นว่ามันง่ายดายแค่ไหนที่ผู้โจมตีจะนำส่วนประกอบที่ถูกต้องตามกฎหมายของ Android มาใช้เป็นอาวุธเพื่อเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์"
ข้อมูลนี้สอดคล้องกับการเปิดเผยของ Zscaler ThreatLabz ที่พบว่า ธุรกรรมที่เกี่ยวข้องกับมัลแวร์ Android เพิ่มขึ้นถึง 67% เมื่อเทียบปีต่อปี โดยมีแรงผลักดันหลักมาจากสปายแวร์และโทรจันธนาคารที่ซับซ้อน
ในช่วงเดือนมิถุนายน 2024 ถึงพฤษภาคม 2025 มีแอปพลิเคชันอันตรายถึง 239 แอปถูก flagged บน Google Play Store และมีการดาวน์โหลดรวมกันกว่า 42 ล้านครั้ง
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก