โทรจันควบคุมอุปกรณ์จากระยะไกล (Remote Access Trojan: RAT) บนระบบ Android ที่ชื่อว่า BTMOB กำลังถูกนำไปเสนอขายให้กับอาชญากรไซเบอร์ โดยมาพร้อมเครื่องมือแบบ Builder ที่ช่วยให้ผู้ใช้งานสามารถสร้างเพย์โหลดมัลแวร์ และปรับแต่งให้สอดคล้องกับแคมเปญฟิชชิง หรือการหลอกลวงที่ต้องการได้อย่างง่ายดาย
BTMOB มีความสามารถหลากหลาย ตั้งแต่การขโมยข้อมูลสำคัญ การดักจับ และแทรกแซงธุรกรรมทางการเงิน การบันทึกภาพหน้าจอของอุปกรณ์ ไปจนถึงการควบคุมสมาร์ตโฟนของเหยื่อจากระยะไกล ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูล และสั่งการอุปกรณ์ที่ติดมัลแวร์ได้อย่างครอบคลุม
ตามรายงานจาก ESET บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ มัลแวร์ BTMOB มีการโฆษณา และจำหน่ายกันอย่างเปิดเผยผ่านเว็บไซต์บนเครือข่าย Clearweb โดยดำเนินธุรกิจภายใต้รูปแบบ Malware-as-a-Service (MaaS) ซึ่งผู้ซื้อสามารถเช่าระบบไปใช้งานได้ทันที จุดเด่นของบริการนี้คือการมีเครื่องมือสร้างไฟล์ APK (APK Builder) ที่ช่วยให้ผู้ใช้งานสามารถปรับแต่งองค์ประกอบต่าง ๆ ของมัลแวร์ได้ตามต้องการอย่างง่ายดาย แม้จะไม่มีทักษะพื้นฐานในการเขียนโปรแกรมก็ตาม
ผู้ใช้งานที่ซื้อบริการสามารถเลือกได้ว่าต้องการให้แอปพลิเคชันขอสิทธิ์การเข้าถึง (Permissions) ใดบ้างระหว่างการติดตั้ง รวมถึงกำหนดพฤติกรรมของมัลแวร์หลังจากถูกติดตั้งลงบนอุปกรณ์แล้ว เช่น การปิดการทำงานของ Google Play การซ่อนไอคอนของแอปเพื่อให้ผู้ใช้ตรวจพบ และลบออกได้ยากขึ้น หรือการป้องกันไม่ให้อุปกรณ์เข้าสู่โหมดสลีป เพื่อให้มัลแวร์สามารถทำงานอยู่เบื้องหลังได้อย่างต่อเนื่อง
BTMOB มีการเคลื่อนไหวในภูมิภาคบราซิล และลาตินอเมริกาเป็นหลัก โดย ANY.RUN เคยวิเคราะห์ไว้ตั้งแต่กุมภาพันธ์ 2025 ขณะที่ Cyble จัดให้เป็นมัลแวร์ Android ระดับสูงที่มีความสามารถซับซ้อน
ในช่วงเวลาดังกล่าว Cyble พบตัวอย่างเวอร์ชัน 2.5 ถึง 15 รายการในเวลาไม่ถึงสองสัปดาห์ แสดงให้เห็นว่า ผู้พัฒนากำลังปรับปรุง และพัฒนามัลแวร์ตัวนี้อย่างต่อเนื่อง
นักวิจัยของ ESET ระบุว่า การซื้อขาย BTMOB ดำเนินการผ่านช่องทาง Telegram แบบปิด โดยผู้ไม่หวังดีสามารถสมัครใช้งานในรูปแบบรายเดือนในราคา 700 ดอลลาร์สหรัฐต่อเดือน หรือเลือกซื้อสิทธิ์ใช้งานตลอดชีพ (Lifetime License) ในราคา 5,000 ดอลลาร์สหรัฐ
BTMOB เป็นมัลแวร์ที่พัฒนาต่อยอดมาจากตระกูล SpySolr โดยถูกเผยแพร่ผ่านเว็บไซต์ฟิชชิงที่ปลอมตัวเป็นแพลตฟอร์มสตรีมมิง และบริการขุดคริปโตเคอร์เรนซี เพื่อหลอกล่อให้เหยื่อติดตั้งแอปพลิเคชันอันตรายลงบนอุปกรณ์ของตน
ESET รายงานว่า ผู้ใช้งานที่ตกเป็นเป้าหมายจะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บไซต์ที่เลียนแบบ Google Play ก่อนจะถูกชักจูงให้ดาวน์โหลดแอปปลอมที่ฝังมัลแวร์เอาไว้
นอกจากนี้ นักวิจัยด้านความปลอดภัยที่ใช้ชื่อว่า Johnk3r และ Merl ยังตรวจพบแคมเปญการแพร่กระจาย BTMOB ที่ใช้หน่วยงานรัฐบาลของอาร์เจนตินาเป็นเหยื่อล่อ เพื่อเพิ่มความน่าเชื่อถือ และหลอกให้ผู้ใช้งานติดตั้งมัลแวร์ดังกล่าว
BTMOB ช่วยให้ผู้โจมตีสร้าง Phishing Lures ที่ปรับแต่งตามภาษา และพื้นที่ได้แนบเนียนขึ้น เมื่อเหยื่อติดตั้งแอป มัลแวร์จะใช้ Android Accessibility Services เพื่อขอยกระดับสิทธิ์ และเข้าถึงระบบเพิ่มเติม ทำให้ผู้ไม่หวังดีเข้าถึงฟังก์ชันสำคัญของระบบ และควบคุมอุปกรณ์ได้ในระดับที่สูงขึ้นโดยที่ผู้ใช้ไม่ต้องกดยืนยันเพิ่มเติม
แม้ ESET จะเฝ้าติดตาม BTMOB อย่างใกล้ชิด และอัปเดตกฎการตรวจจับอย่างต่อเนื่อง แต่ความสามารถของแพลตฟอร์มในการสร้างเพย์โหลดใหม่ได้อย่างรวดเร็ว ทำให้การป้องกันที่อาศัยกลไกเพียงรูปแบบเดียวอาจไม่เพียงพอต่อการรับมือกับภัยคุกคามดังกล่าว
นักวิจัยจึงแนะนำให้ผู้ใช้ Android ดาวน์โหลดแอปพลิเคชันจาก Google Play Store เท่านั้น พร้อมเปิดใช้งาน Play Protect เพื่อช่วยตรวจสอบแอปที่ติดตั้งบนอุปกรณ์ นอกจากนี้ ควรตรวจสอบสิทธิ์การเข้าถึงที่แอปได้รับอยู่เป็นประจำ และยกเลิกสิทธิ์ที่มีความเสี่ยงสูงมากเกินความจำเป็น เช่น สิทธิ์ Accessibility หากไม่ได้ใช้งานจริง เพื่อลดโอกาสที่มัลแวร์จะเข้าควบคุม หรือเข้าถึงข้อมูลสำคัญบนอุปกรณ์ได้
ที่มา : bleepingcomputer
You must be logged in to post a comment.