ผู้ใช้อุปกรณ์ Android ในประเทศเกาหลีใต้กลายเป็นเป้าหมายของแคมเปญมัลแวร์บนมือถือ ที่จะทำการแพร่กระจายมัลแวร์ชนิดใหม่ที่เรียกว่า SpyAgent
SangRyol Ryu นักวิจัยของ McAfee Labs ระบุว่า มัลแวร์ตัวนี้ "จะมุ่งเป้าไปที่ mnemonic keys โดยการสแกนหาภาพบนอุปกรณ์ของเหยื่อที่อาจมีคีย์เหล่านี้อยู่" และยังระบุอีกว่าการโจมตีนี้ได้ทำการขยายไปถึงยังสหราชอาณาจักร (UK) แล้วอีกด้วย
แฮ็กเกอร์จะโจมตีโดยใช้แอปบน Android ปลอม ที่ถูกปลอมแปลงให้ดูเหมือนเป็นแอปที่ถูกต้อง เช่น แอปธนาคาร, แอปหน่วยงานรัฐบาล, แอปสตรีมมิง และแอปบริการต่าง ๆ เพื่อหลอกล่อให้ผู้ใช้ติดตั้งแอปเหล่านี้ โดยมีการตรวจพบแอปปลอมแล้วถึง 280 แอป นับตั้งแต่ต้นปีที่ผ่านมา
การโจมตีเริ่มต้นด้วยการส่งข้อความ SMS ที่มีลิงก์อันตรายแนบมาด้วย เมื่อผู้ใช้ดาวน์โหลดแอปเหล่านี้ในรูปแบบของไฟล์ APK ที่อยู่บนเว็บไซต์หลอกลวง เมื่อมีการติดตั้งแอปเหล่านี้เข้าไปแล้ว จะมีการขอสิทธิ์การอนุญาตต่าง ๆ บนอุปกรณ์ เพื่อที่จะเก็บรวบรวมข้อมูลจากอุปกรณ์ที่ถูกโจมตี
ข้อมูลที่ถูกขโมยมาจะประกอบด้วย รายชื่อผู้ติดต่อ, ข้อความ SMS, รูปภาพ และข้อมูลอื่น ๆ ของอุปกรณ์ ซึ่งทั้งหมดนี้จะถูกส่งออกไปยังเซิร์ฟเวอร์ภายนอกที่อยู่ภายใต้การควบคุมของผู้โจมตี
คุณสมบัติที่โดดเด่นของ OCR คือความสามารถในการใช้เทคโนโลยีการตรวจสอบอักขระ เพื่อขโมย mnemonic keys ซึ่งคือรหัสการกู้คืน หรือ seed phrase ที่จะช่วยให้ผู้ใช้สามารถเข้าถึงกระเป๋าเงินดิจิทัล (cryptocurrency wallets) ของตนเองได้อีกครั้ง
ดังนั้นการสามารถเข้าถึง mnemonic keys โดยไม่ได้รับอนุญาต อาจทำให้ผู้โจมตีสามารถเข้าควบคุมกระเป๋าเงิน (wallets) ของเหยื่อ และขโมยเงินทั้งหมดที่เก็บไว้ในนั้นออกไปได้
McAfee Labs ระบุว่าโครงสร้างพื้นฐานของ command-and-control (C2) ของผู้โจมตี มีช่องโหว่ด้านความปลอดภัยอย่างร้ายแรง ซึ่งไม่เพียงแต่จะทำให้สามารถเข้าถึงไดเรกทอรีหลักของเว็บไซต์ได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์เท่านั้น แต่ยังทำให้ข้อมูลที่รวบรวมมาจากเหยื่อถูกเปิดเผยอีกด้วย
นอกจากนี้ เซิร์ฟเวอร์ยังมี administrator panel ที่ทำหน้าที่เป็นศูนย์กลางในการควบคุมอุปกรณ์ที่ถูกควบคุมจากระยะไกล และการพบว่ามีอุปกรณ์ Apple iPhone ที่ใช้ iOS 15.8.2 ที่มีการตั้งค่าภาษาของระบบเป็นภาษาจีนตัวย่อ ("zh") ใน panel อาจเป็นสัญญาณให้เห็นว่าผู้โจมตีกำลังเล็งเป้าหมายไปยังผู้ใช้ iOS ด้วยเช่นกัน
Ryu ระบุว่า "เดิมทีมัลแวร์จะสื่อสารกับเซิร์ฟเวอร์ command-and-control (C2) ผ่าน HTTP request แบบง่าย ๆ แม้ว่าวิธีนี้จะได้ผล แต่เครื่องมือรักษาความปลอดภัยก็สามารถติดตาม และบล็อกได้ค่อนข้างง่าย"
"ในการเปลี่ยนแปลงวิธีการที่สำคัญ มัลแวร์ตัวนี้จะเปลี่ยนมาใช้การเชื่อมต่อแบบ WebSocket สำหรับการสื่อสาร การอัปเกรดนี้จะช่วยทำให้สามารถสื่อสารสองทางแบบเรียลไทม์กับเซิร์ฟเวอร์ C2 ได้อย่างมีประสิทธิภาพมากขึ้น และยังช่วยให้หลีกเลี่ยงการตรวจจับจากเครื่องมือตรวจสอบเครือข่ายที่ใช้ HTTP แบบดั้งเดิมได้อีกด้วย"
การพัฒนาดังกล่าวเกิดขึ้นเพียงหนึ่งเดือนหลังจากที่ Group-IB เปิดเผย trojan บน Android ที่สามารถควบคุมจากระยะไกลได้ (RAT) อีกตัวหนึ่งที่เรียกว่า CraxsRAT ซึ่งมีเป้าหมายเป็นผู้ใช้บริการธนาคารในมาเลเซียตั้งแต่เดือนกุมภาพันธ์ 2024 ที่ผ่านมา โดยใช้เว็บไซต์ phishing นอกจากนี้ยังมีการระบุว่าแคมเปญ CraxsRAT เคยถูกพบว่ามีเป้าหมายเป็นประเทศสิงคโปร์มาแล้วเมื่อเดือนเมษายน 2023
บริษัทในสิงคโปร์ ระบุว่า "CraxsRAT เป็นตระกูลมัลแวร์ที่มีชื่อเสียงในกลุ่ม Android Remote Administration Tools (RAT) ที่มีคุณสมบัติในการควบคุมอุปกรณ์จากระยะไกล และมีความสามารถในการสอดแนม รวมถึงการบันทึกการกดแป้นพิมพ์, การแสดงท่าทาง, การบันทึกกล้อง, หน้าจอ และการโทรอีกด้วย
ที่มา : thehackernews
You must be logged in to post a comment.