ข้อความจาก Gate News วันที่ 25 เมษายน — บริษัทด้านความปลอดภัยไซเบอร์ Zimperium ระบุมัลแวร์ที่ยังใช้งานอยู่ 4 ตระกูล ได้แก่ RecruitRat, SaferRat, Astrinox และ Massiv ซึ่งกำหนดเป้าหมายไปที่แอปพลิเคชันมากกว่า 800 รายในกลุ่มธนาคาร คริปโทเคอเรนซี และโซเชียลมีเดีย แคมเปญเหล่านี้ใช้เทคนิคต่อต้านการวิเคราะห์ขั้นสูงและการดัดแปลง APK เชิงโครงสร้างเพื่อรักษาอัตราการตรวจจับที่ใกล้เป็นศูนย์ต่อมาตรการรักษาความปลอดภัยแบบอาศัยลายเซ็นดั้งเดิม

ผู้โจมตีใช้เว็บไซต์ฟิชชิง ข้อเสนอจ้างงานที่ฉ้อฉล การอัปเดตซอฟต์แวร์ปลอม สแกมผ่านข้อความ SMS และกลอุบายส่งเสริมการขายเพื่อหลอกให้ผู้ใช้ติดตั้งแอป Android ที่เป็นอันตราย เมื่อได้ติดตั้งแล้ว มัลแวร์จะขอสิทธิ์การเข้าถึง (Accessibility) เพื่อซ่อนไอคอนแอป ปิดกั้นความพยายามในการถอนการติดตั้ง ขโมย PIN และรหัสผ่านผ่านหน้าจอล็อกที่ปลอม แอบสกัดรหัสผ่านแบบใช้ครั้งเดียว (one-time passcodes) บันทึกหน้าจออุปกรณ์แบบเรียลไทม์ และซ้อนทับหน้าจอเข้าสู่ระบบปลอมบนแอปธนาคารหรือแอปคริปโตที่ถูกต้องตามกฎหมาย

การโจมตีแบบซ้อนทับ (overlay) คือหัวใจของกลยุทธ์การเก็บเกี่ยวข้อมูลรับรอง (credential-harvesting) มัลแวร์จะตรวจสอบแอปที่อยู่เบื้องหน้าโดยใช้บริการการเข้าถึง (Accessibility Services) และตรวจจับเมื่อเหยื่อเปิดแอปการเงิน จากนั้นจึงดึงเพย์โหลด HTML ที่เป็นอันตรายและซ้อนทับลงบนอินเทอร์เฟซที่ถูกต้องตามกฎหมายเพื่อสร้าง “ภาพลวงตา” ที่น่าเชื่อถือ

แคมเปญเหล่านี้ใช้การสื่อสารผ่าน HTTPS และ WebSocket เพื่อผสานทราฟฟิกที่เป็นอันตรายเข้ากับการทำงานปกติของแอป โดยบางตัวแปรยังใช้ชั้นการเข้ารหัสเพิ่มเติมเพื่อหลบเลี่ยงการตรวจจับได้ยิ่งขึ้น

news.view.source

news.article.disclaimer

news.related.news

04-25 12:30

โปรโตคอลการปล่อยกู้ Purrlend ถูกโจมตี สูญเสีย $1.52 ล้าน ครอบคลุมทั้ง MegaETH และ HyperEVM

04-25 10:25

ระบบนิเวศ Fireblocks ครอบคลุมพาร์ทเนอร์ 30 ราย รองรับกระแสสเตเบิลคอยน์รายเดือนมากกว่า $200B

04-25 04:17

ผู้โจมตี Mango Markets AviEisenberg รายงานว่ากลับมามีกิจกรรมบนบล็อกเชนอีกครั้ง

04-24 16:02

FCA ประสานงานกับหน่วยงานกำกับดูแล 17 แห่ง เพื่อรับมือกับการส่งเสริมทางการเงินที่ผิดกฎหมาย ผู้ใช้สหราชอาณาจักร 2.3 ล้านคนถูกเปิดเผย

04-24 08:04