นักวิจัยด้านความปลอดภัยค้นพบมัลแวร์สายแบงค์กิ้งรูปแบบใหม่บน Android ที่มีความสามารถซับซ้อนจนน่าตกใจ และอาจสร้างความเสี่ยงให้กับผู้ใช้หลายล้านคน มัลแวร์ที่มีชื่อว่า "Sturnus" นี้แสดงถึงวิวัฒนาการที่สำคัญของภัยคุกคามบนมือถือ โดยผสมผสานระหว่างการบันทึกหน้าจอ การยึดครองอุปกรณ์ และเทคนิคทางสังคมวิศวกรรม เพื่อ bypass แม้แต่แพลตฟอร์มแชทที่เข้ารหัสและขโมยข้อมูลทางการเงินที่ละเอียดอ่อน
ความสามารถอันซับซ้อนของมัลแวร์ Sturnus
Sturnus แสดงให้เห็นถึงระดับความซับซ้อนที่น่ากังวล ซึ่งแตกต่างจากมัลแวร์มือถือทั่วไป โทรจันนี้ทำงานโดยการแสดงหน้าต่างล็อกอินปลอมที่ดูน่าเชื่อถือเพื่อทับบนแอปพลิเคชันแบงค์กิ้งที่ถูกต้อง หลอกให้ผู้ใช้ป้อนข้อมูลประจำตัวซึ่งจะถูกส่งไปยังผู้โจมตีทันที สิ่งที่ทำให้ Sturnus อันตรายเป็นพิเศษคือความสามารถในการจับภาพเนื้อหาจากแพลตฟอร์มแชทที่เข้ารหัส เช่น WhatsApp, Signal และ Telegram โดยการบันทึกหน้าจอของอุปกรณ์หลังจากที่ข้อความถูกถอดรหัสและแสดงผลแล้ว วิธีการนี้สามารถ bypass การเข้ารหัสแบบ end-to-end ได้อย่างมีประสิทธิภาพโดยไม่ต้องทำลายโปรโตคอลการเข้ารหัสพื้นฐาน ซึ่งเป็นวิธีแก้ปัญหาที่ฉลาดและทำให้นักวิจัยด้านความปลอดภัยกังวลเป็นพิเศษ
ความสามารถหลักของมัลแวร์ Sturnus:
- บันทึกหน้าจอข้อความที่ถอดรหัสแล้วจาก WhatsApp, Signal และ Telegram
- ภาพซ้อนทับแอปธนาคารปลอมสำหรับขโมยข้อมูลประจำตัว
- การควบคุมและสังเกตการณ์อุปกรณ์จากระยะไกล
- หน้าจออัปเดต Android ปลอมสำหรับการโจมตีทางวิศวกรรมสังคม
- การละเมิดบริการการเข้าถึงสำหรับการอ่านหน้าจอและการสร้างภาพซ้อนทับ
มัลแวร์แพร่กระจายและได้มาซึ่งการควบคุมได้อย่างไร
ช่องทางในการติดเชื้อของ Sturnus เกี่ยวข้องกับไฟล์ APK ที่ติดตั้งจากแหล่งภายนอก (sideloaded) ซึ่งถูกกระจายผ่านแอปพลิเคชันแชทในรูปแบบไฟล์แนบ เมื่อติดตั้งแล้ว มัลแวร์จะปลอมตัวเป็นแอปพลิเคชันของบริษัทชั้นนำ เช่น Chrome หรือ Gmail เพื่อหลีกเลี่ยงความสงสัย จากนั้นมันจะใช้ประโยชน์จาก Accessibility services ของ Android โดยเฉพาะสิทธิ์ "Draw over other apps" เพื่ออ่านเนื้อหาบนหน้าจอ บันทึกเซสชันการใช้งานของผู้ใช้ และสร้างเลเยอร์ปลอมบนแอปพลิเคชันแบงค์กิ้ง มัลแวร์ยังสร้างหน้าจออัปเดต Android ปลอมเพื่อให้ดูน่าเชื่อถือและสร้างความไว้วางใจจากผู้ใช้ ซึ่งเป็นกลยุทธ์ทางสังคมวิศวกรรมที่พิสูจน์แล้วว่ามีประสิทธิภาพในการโจมตีเบื้องต้นที่รายงานในยุโรปตอนใต้และยุโรปกลาง
ภัยคุกคามจากการเข้าถึงจากระยะไกลและการยึดครองอุปกรณ์
นอกจากการขโมยข้อมูลแล้ว Sturnus ยังให้ความสามารถในการควบคุมจากระยะไกลอย่างมีนัยสำคัญ ซึ่งช่วยให้สามารถยึดครองอุปกรณ์ได้อย่างสมบูรณ์ ผู้โจมตีสามารถสังเกตกิจกรรมของผู้ใช้ได้แบบเรียลไทม์ ส่งข้อความไปยังอุปกรณ์ และแม้แต่ทำให้หน้าจอมืดลงระหว่างทำธุรกรรมที่ผิดกฎหมายเพื่อป้องกันการตรวจจับ ระดับการเข้าถึงจากระยะไกลนี้ทำให้ผู้โจมตีสามารถทำธุรกรรมแบงค์กิ้งโดยไม่ได้รับอนุญาต ในขณะที่ผู้ใช้ที่ถูกต้องตามกฎหมายยังไม่รู้ตัวว่าถูกละเมิด การรวมกันของการบันทึกหน้าจอ การขโมยข้อมูลประจำตัว และการควบคุมจากระยะไกล สร้างพายุที่สมบูรณ์แบบสำหรับการฉ้อโกงทางการเงินที่อาจสร้างความเสียหายอย่างรุนแรงให้กับเหยื่อทางการเงิน
สถานะปัจจุบันและมาตรการป้องกัน
โชคดีที่ Sturnus ดูเหมือนจะอยู่ในช่วงพัฒนาหรือทดสอบ โดยมีการใช้งานที่จำกัดจนถึงตอนนี้ Google ยืนยันว่าไม่พบแอปพลิเคชันที่มีมัลแวร์นี้บน Google Play Store เนื่องจากความสามารถในการสแกนของ Play Protect อย่างไรก็ตาม นักวิจัยเตือนว่าผู้โจมตีดูเหมือนกำลังปรับปรุงเครื่องมือของพวกเขาเพื่อการโจมตีที่กว้างขึ้นในอนาคต ผู้ใช้สามารถปกป้องตนเองได้โดยการยึดติดกับร้านค้าแอปพลิเคชันอย่างเป็นทางการ ตรวจสอบเป็นประจำว่าแอปใดมีสิทธิ์ Accessibility เปิดใช้งานการยืนยันตัวตนสองปัจจัยสำหรับแอปแบงค์กิ้ง อัปเดตอุปกรณ์ด้วยแพตช์ความปลอดภัยล่าสุด และหลีกเลี่ยงลิงก์หรือไฟล์แนบที่น่าสงสัยในข้อความ
ผลกระทบในปัจจุบัน:
- มีการโจมตีเป้าหมายจำกัดในยุโรปตอนใต้และยุโรปกลาง
- ยังไม่พบการติดเชื้อจาก Google Play Store
- เชื่อว่าอยู่ในขั้นตอนการพัฒนา/ทดสอบ
- คาดว่ามีศักยภาพที่จะเกิดการโจมตีวงกว้างมากขึ้นหลังการปรับปรุงให้ดีขึ้น
ภูมิทัศน์ที่พัฒนาอย่างต่อเนื่องของภัยคุกคามความปลอดภัยบนมือถือ
การปรากฏตัวของ Sturnus เน้นย้ำถึงวิวัฒนาการอย่างต่อเนื่องของมัลแวร์มือถือและความสำคัญของการรักษาสุขอนามัยความปลอดภัยพื้นฐาน แม้ภัยคุกคามจะฟังดูน่าตกใจ แต่ผู้ใช้ส่วนใหญ่ที่ปฏิบัติตามมาตรการความปลอดภัยมาตรฐาน—เช่น การหลีกเลี่ยงแอปที่ติดตั้งจากแหล่งภายนอกและการอัปเดตอุปกรณ์อย่างสม่ำเสมอ—จะมีความเสี่ยงน้อยที่สุด นักวิจัยด้านความปลอดภัยและ Google กำลังทำงานเกี่ยวกับการป้องกันภัยคุกคามเฉพาะนี้แล้ว ซึ่งแสดงให้เห็นว่ากลุ่มระบบนิเวศความปลอดภัยตอบสนองต่อภัยคุกคามใหม่ๆ อย่างรวดเร็วอย่างไร การค้นพบนี้ทำหน้าที่เป็นเครื่องเตือนใจที่ทันท่วงทีว่า ในขณะที่แพลตฟอร์มมือถือยังคงปรับปรุงความปลอดภัยของพวกเขาต่อไป ผู้ใช้ต้องระมัดระวังเกี่ยวกับสิทธิ์ที่พวกเขาให้และแหล่งที่มาที่พวกเขาไว้วางใจสำหรับการติดตั้งแอปพลิเคชัน