Banking Trojan บน Android ตัวใหม่ที่ชื่อว่า Rokarolla กำลังมุ่งเป้าการโจมตีไปที่แอปพลิเคชันธนาคาร และ Crypto จำนวน 217 แอป โดยใช้ชุดคำสั่งที่ครอบคลุมถึง 137 คำสั่ง
มัลแวร์ตัวนี้แพร่กระจายผ่านเว็บไซต์ที่เป็นอันตรายที่หลอกให้ดาวน์โหลดแอป Google Chrome หรือ TikTok และมัลแวร์สามารถเข้าควบคุมอุปกรณ์ที่ถูกโจมตีได้อย่างสมบูรณ์ในระดับผู้ดูแลระบบ
ความสามารถของมัลแวร์รวมถึงการขโมยรหัสผ่านปลดล็อกหน้าจอ, รายชื่อผู้ติดต่อ และข้อมูล SMS ตลอดจนมีการใช้ Keyloggers เพื่อคอยบันทึกการกดแป้นพิมพ์ของผู้ใช้อย่างต่อเนื่อง
ในระหว่างขั้นตอนการติดตั้ง แอปที่เป็นอันตรายนี้จะทำหน้าที่เป็น Dropper โดยปลอมตัวเป็น Google Play Protect ซึ่งเป็นระบบป้องกันมัลแวร์ที่มีมาให้ในเครื่องของ Android เพื่อหลอกล่อให้ผู้ใช้ติดตั้งแอป Chrome หรือ TikTok ที่มีการฝังมัลแวร์ Rokarolla เอาไว้
นักวิจัยจากบริษัทรักษาความปลอดภัยบนมือถือ Zimperium เปิดเผยรายละเอียดว่า เมื่อแอปถูกเปิดใช้งานบนเครื่อง Rokarolla จะร้องขอสิทธิ์ Accessibility service รวมไปถึงสิทธิ์ในการเข้าถึงการแจ้งเตือน, ข้อความ SMS และข้อมูลการโทร
การสื่อสารกับเซิร์ฟเวอร์ C2 เริ่มต้นด้วยการส่งข้อมูลพื้นฐานของอุปกรณ์ ซึ่งประกอบด้วยรายละเอียดต่าง ๆ เช่น รุ่นของโทรศัพท์, เวอร์ชันของ Android ที่ติดตั้ง, การตั้งค่า Locale, คุณลักษณะของหน้าจอแสดงผล, ระดับแบตเตอรี่, ความจุพื้นที่จัดเก็บข้อมูล และ RAM ที่ว่างอยู่
ข้อมูลจาก Zimperium ระบุว่า ข้อมูลเหล่านี้ถูกนำไปใช้เพื่อสร้างรหัสระบุตัวตนเฉพาะ (Unique Identifier) สำหรับเหยื่อแต่ละรายในแคมเปญการโจมตีของ Rokarolla
Zimperium ระบุว่า วัตถุประสงค์หลักของมัลแวร์ตัวนี้ดูเหมือนจะเป็นการขโมยข้อมูลทางการเงิน และเพื่อให้บรรลุเป้าหมายดังกล่าว มัลแวร์จะตรวจสอบแอปพลิเคชันในเครื่องที่ติดมัลแวร์เทียบกับรายชื่อแอปเป้าหมายจำนวน 217 แอป จากนั้นจึงดาวน์โหลด Phishing Payload ที่ตรงกับแอปเหล่านั้นลงมา
เมื่อเหยื่อเปิดใช้งานแอปที่อยู่ในรายชื่อ Rokarolla จะแสดงหน้าต่างล็อกอินปลอมซ้อนทับขึ้นมาเพื่อขโมยข้อมูล Credentials, ข้อมูลบัตรเครดิต และข้อมูลทางการเงินอื่น ๆ
อย่างไรก็ตาม การใช้หน้าต่างซ้อนทับนี้ไม่ได้จำกัดอยู่แค่การขโมยข้อมูลเท่านั้น มัลแวร์ยังใช้วิธีนี้ในการดักจับรหัส PIN หรือรูปแบบ (Pattern) ปลดล็อกหน้าจอ และควบคุมอุปกรณ์แม้ในขณะที่หน้าจอล็อกอยู่ด้วย
นอกจากนี้ หน้าต่างซ้อนทับยังถูกใช้เพื่อปกปิดกิจกรรมของมัลแวร์ และขัดขวางการโต้ตอบของผู้ใช้ โดยการแสดงหน้าจอการติดตั้งปลอมขึ้นมาเมื่อจำเป็น
กลยุทธ์การหลบเลี่ยงเพิ่มเติม ได้แก่ การปิดใช้งาน Google Play Protect, การซ่อนไอคอนแอปพลิเคชันจากหน้ารวมแอป, การปิดเสียง และระบบสั่น รวมถึงการทำให้หน้าจอเปิดอยู่ตลอดเวลา
Zimperium ได้สร้าง Repository บน GitHub ที่รวบรวมคำสั่งทั้งหมด 137 คำสั่งที่ Rokarolla สามารถใช้ได้ โดยตัวอย่างคำสั่งที่ใช้ในการขโมยข้อมูลมีรายละเอียดดังนี้
การรวมความสามารถเหล่านี้เข้าด้วยกัน ทำให้ผู้ควบคุม Rokarolla สามารถเข้าควบคุมอุปกรณ์ Android ที่ติดมัลแวร์ได้เกือบจะสมบูรณ์แบบในระดับผู้ดูแลระบบ ซึ่งจะช่วยให้พวกเขาสามารถก่อเหตุฉ้อโกงทางการเงินขั้นสูงได้
Zimperium ไม่พบมัลแวร์ตัวนี้บน Google Play ซึ่งเป็นแหล่งดาวน์โหลดแอปพลิเคชันอย่างเป็นทางการสำหรับ Android ทั้งนี้ ขอแนะนำให้ผู้ใช้หลีกเลี่ยงการดาวน์โหลดไฟล์ APK จากแหล่งอื่นภายนอก Google Play เว้นแต่จะเชื่อถือผู้พัฒนาแอปนั้นได้จริง
นอกจากนี้ ผู้ใช้ควรระมัดระวังเมื่อต้องอนุญาตสิทธิ์ Accessibility เนื่องจากสิทธิ์เหล่านี้อาจถูกนำไปใช้ในทางที่ผิดเพื่อหลบเลี่ยงระบบรักษาความปลอดภัยตามมาตรฐานของ Android และช่วยให้มัลแวร์ได้รับสิทธิ์ที่สูงขึ้นในการโต้ตอบกับหน้าจอผู้ใช้ หรือกดยืนยันคำขอต่าง ๆ ของระบบโดยอัตโนมัติ ซึ่งล้วนเป็นการกระทำที่มัลแวร์ Android มักจะพยายามโจมตีเพื่อเข้ามาควบคุมให้ได้
ที่มา : bleepingcomputer