พบภัยคุกคามทางไซเบอร์รูปแบบใหม่บน Android ที่ใช้วิธีการ Social Engineering ผสมผสานกับการอาศัยแพลตฟอร์ม Machine Learning ที่ดูน่าเชื่อถือ เพื่อแพร่กระจายมัลแวร์อันตรายไปยังอุปกรณ์ต่าง ๆ ของผู้ใช้งาน
การโจมตีจะเริ่มต้นขึ้นเมื่อผู้ใช้งานเห็นการแจ้งเตือนความปลอดภัยปลอม ที่อ้างว่าโทรศัพท์ของตนติดมัลแวร์ และจำเป็นต้องได้รับการป้องกัน ข้อความหลอกลวงเหล่านี้จะชักจูงให้ผู้ใช้ดาวน์โหลดแอปรักษาความปลอดภัยปลอมที่ชื่อว่า TrustBastion ซึ่งในตอนแรกดูเหมือนจะไม่เป็นอันตราย
อย่างไรก็ตาม เมื่อติดตั้งลงในเครื่องแล้ว แอปนี้จะกลายเป็นจุดเริ่มต้นของกระบวนการติดมัลแวร์ ซึ่งทำให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ Android ที่ตกเป็นเหยื่อได้อย่างสมบูรณ์
แคมเปญนี้ใช้ประโยชน์จาก Hugging Face ซึ่งเป็นแพลตฟอร์มยอดนิยมที่เหล่านักพัฒนา และนักวิจัยใช้สำหรับแบ่งปันโมเดล Machine Learning และชุดข้อมูลต่าง ๆ
โดยแทนที่จะพึ่งพาโดเมนที่ดูน่าสงสัยซึ่งเสี่ยงต่อการถูกบล็อก ผู้โจมตีกลับเลือกใช้บริการที่ได้รับความเชื่อถือนี้เป็นฐานในการโฮสต์ และแพร่กระจายไฟล์มัลแวร์ของตนแทน
วิธีการนี้นับว่าอันตรายอย่างยิ่ง เนื่องจาก Hugging Face ได้รับการยอมรับในวงกว้างว่าเป็นแพลตฟอร์มที่น่าเชื่อถือได้ ทำให้เครื่องมือรักษาความปลอดภัยมักจะไม่แจ้งเตือนความผิดปกติจากการรับส่งข้อมูลที่มาจากแหล่งนี้ แม้ทางแพลตฟอร์มจะระบุว่าไฟล์ที่อัปโหลดทั้งหมดได้ผ่านการตรวจสอบแล้ว แต่การโจมตีครั้งนี้กลับชี้ให้เห็นถึงช่องโหว่ในมาตรการรักษาความปลอดภัยปัจจุบัน
หลังจากติดตั้งแล้ว TrustBastion จะแสดงหน้าต่างแจ้งเตือนการอัปเดตปลอมที่เลียนแบบหน้าต่างโต้ตอบของ Google Play หรือระบบ Android ได้อย่างแนบเนียน
นักวิจัยจาก Bitdefender พบว่าเมื่อผู้ใช้กดอัปเดต แอปดังกล่าวจะเชื่อมต่อไปยังเซิร์ฟเวอร์เพื่อ Redirect ผู้ใช้ไปยัง Repository บน Hugging Face ซึ่งเป็นที่เก็บไฟล์แอปพลิเคชัน Android อันตรายตัวจริงเอาไว้
กระบวนการส่งมัลแวร์แบบสองขั้นตอนนี้ ช่วยให้ผู้โจมตีสามารถหลีกเลี่ยงการถูกตรวจจับได้ในทันที และเพิ่มอัตราความสำเร็จในการโจมตีให้สูงขึ้น
วิธีการควบคุม และขโมยข้อมูลของผู้โจมตี
เมื่อ payload อันตรายถูกติดตั้งเรียบร้อยแล้ว มันจะทำการขอสิทธิ์การเข้าถึงที่สำคัญ โดยแอบอ้างว่าเป็นฟีเจอร์รักษาความปลอดภัยปกติของโทรศัพท์
สิทธิ์ที่สำคัญที่สุดที่มัลแวร์ต้องการคือ Accessibility Services ซึ่งทำให้มัลแวร์สามารถเข้าถึงข้อมูลทุกอย่างที่ผู้ใช้ทำบนอุปกรณ์ของตนได้อย่างครอบคลุม
ด้วยสิทธิ์การเข้าถึงระดับสูงนี้ RAT จะสามารถตรวจสอบกิจกรรมของผู้ใช้ จับภาพหน้าจอ บันทึกหน้าจอ และแสดงหน้าจอเข้าสู่ระบบปลอมที่ออกแบบมาเพื่อขโมยข้อมูลทางการเงินจากบริการต่าง ๆ เช่น Alipay และ WeChat
มัลแวร์ยังมีความสามารถในการดักจับข้อมูลบนหน้าจอล็อก และรักษาการเชื่อมต่อกับเซิร์ฟเวอร์ C2 โดยใช้การเชื่อมต่อแบบถาวร
การเชื่อมต่อนี้ ช่วยให้ผู้โจมตีสามารถส่งออกข้อมูลที่ขโมยมา และรับคำสั่งใหม่ ๆ ได้แบบเรียลไทม์ ทางนักวิจัยยังค้นพบอีกว่าผู้โจมตีใช้วิธีสร้างมัลแวร์เวอร์ชันใหม่ออกมาทุก ๆ 15 นาทีโดยประมาณ ผ่านเทคนิค Server-side polymorphism
โดยในช่วงเวลา 29 วันที่ผ่านมา พบว่า Repository ต้นทางมีการอัปเดตสะสมไปแล้วมากกว่า 6,000 ครั้ง
การสร้างเวอร์ชันใหม่แต่ละครั้งจะมีการปรับเปลี่ยนโครงสร้างเพียงเล็กน้อย โดยที่ยังคงฟังก์ชันการทำงานอันตรายไว้เหมือนเดิม ซึ่งถือเป็นเทคนิคที่ออกแบบมาโดยเฉพาะเพื่อหลบเลี่ยงระบบตรวจจับความปลอดภัยที่อาศัยการตรวจสอบค่าแฮชของไฟล์
เมื่อ Repository ต้นฉบับของ TrustBastion หายไปจากระบบในเดือนธันวาคม 2025 กลุ่มผู้โจมตีก็ได้กลับมาใหม่อีกครั้งภายใต้ชื่อแอปใหม่ว่า "Premium Club" โดยยังคงอาศัยโค้ดการทำงานเบื้องหลังชุดเดิม เพื่อสานต่อปฏิบัติการโจมตี และหลบเลี่ยงการถูกตรวจจับอย่างต่อเนื่อง
ที่มา : cybersecuritynews
You must be logged in to post a comment.