มัลแวร์ BTMob RAT ระบาดหนักบน Android แฝงตัวอยู่ในไฟล์ APK

มัลแวร์ประเภทเข้าควบคุมเครื่องจากทางไกล หรือ RAT (Remote Access Trojan) นั้นเรียกได้ว่ายังคงเป็นที่นิยมในกลุ่มผู้ก่อการร้ายไซเบอร์ควบคุมมากับการทำการหลอกลวงแบบ Phishing เพื่อหลอกเหยื่อให้ติดตั้งมัลแวร์ลงระบบของเหยื่อ

จากรายงานโดยเว็บไซต์ The Cyber Express ได้รายงานถึงการตรวจพบมัลแวร์ BTMob RAT โดยทีมวิจัย Cyble Research and Intelligence Labs (CRIL) ในวันที่ 31 มกราคม ที่ผ่านมานี้ โดยทางทีมวิจัยได้ระบุว่า ตัวมัลแวร์กำลังแพร่กระจายตัวเองผ่านทางเว็บไซต์ปลอม ที่ปลอมตัวเป็นเว็บไซต์ของแพลตฟอร์มสตรีมมิ่ง อย่าง iNat TV หรือในบางกรณีอาจปลอมตัวเป็นเว็บไซต์ให้บริการเหมืองขุดเหรียญคริปโตเคอร์เรนซี ซึ่งไฟล์ของมัลแวร์ดังกล่าวนั้นจะมาในรูปแบบไฟล์ติดตั้งแอปพลิเคชันบนระบบ Android หรือ .APK อย่างเช่น lnat-tv-pro.apk เป็นต้น

โดยมัลแวร์ดังกล่าวนั้นทางทีมวิจัยพบว่ามีความพัวพันกับกลุ่มแฮกเกอร์ที่มีชื่อว่า EVLF โดยได้วางขายมัลแวร์ดังกล่าวในรูปแบบ Malware-as-a-Service หรือ MaaS ผ่านทาง Telegram ในราคา 5,000 ดอลลาร์สหรัฐต่อเดือน (ประมาณ 168,000 บาท) โดยถ้าจ่ายเพิ่ม 300 ดอลลาร์สหรัฐต่อเดือน (ประมาณ 10,000 บาท) ก็จะได้รับบริการหลังการขายอย่างครบวงจร

สำหรับความสามารถของมัลแวร์ดังกล่าวนั้นเรียกว่ามีความหลากหลายมาก เพราะนอกจากจะมีความสามารถในการใช้โหมดช่วยเหลือผู้ใช้งานที่พิการ (Accessibility Mode) เพื่อเข้าความคุมเครื่องของเหยื่อ และความสามารถในการติดต่อการเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่มีชื่อ URL ว่า hxxp://server[.]yaarsa.com/con ผ่าน WebSocket Protocol แล้ว ตัวมัลแวร์ยังมีความสามารถในการขโมยข้อมูลที่หลากหลาย เช่น การตรวจจับการพิมพ์ของเหยื่อ (Keylogging), การใช้หน้าล็อกอินปลอมเพื่อหลอกขโมยรหัสผ่าน, การแอบดูหน้าจอของเหยื่อแบบ live จากระยะไกล, การแอบบันทึกเสียงของเหยื่อ, ไปจนถึงความสามารถในการจัดการไฟล์ไม่ว่าจะเป็นการดาวน์โหลดไฟล์, ย้ายไฟล์, ลบไฟล์ ก็สามารถทำได้อย่างอิสระ

ทางทีมวิจัยยังเตือนอีกว่า มัลแวร์ดังกล่าวนั้นปัจจุบันยังคงถูกพัฒนาโดยทีมแฮกเกอร์อย่างต่อเนื่อง โดยความสามารถเพิ่มเติมล่าสุดที่ทางทีมวิจัยตรวจพบนั้น พบว่า มัลแวร์ได้ถูกเพิ่มความสามารถในการหลบเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัยบนเครื่องของเหยื่อ, ความสามารถในการรับคำสั่งจากเซิร์ฟเวอร์ C2 ที่มากถึง 16 คำสั่ง, ความสามารถในการคงตัวในระบบในระดับสูง (Persistence) ไปจนถึงความสามารถในการขโมยข้อมูลที่ร้ายกาจมากขึ้น อย่างเช่น การขโมยรายชื่อผู้ติดต่อ (Contact List) และ ข้อความสั้น (SMS หรือ Short Message Service) ที่ถูกบันทึกไว้บนเครื่องเป็นต้น ทั้งยังมีแนวโน้มที่จะถูกพัฒนา และเพิ่มเติมความสามารถมากขึ้นไปเรื่อย ๆ ในอนาคต ตราบใดที่กลุ่มนักพัฒนายังไม่ถูกปราบปรามลง

โดยในการป้องกันตนนั้น ทางทีมวิจัยแนะนำให้หลีกเลี่ยงการดาวน์โหลดสิ่งใด ๆ หรือแม้กระทั่งการกดลิงก์เข้าสู่เว็บไซต์ที่ไม่น่าไว้วางใจ. ระมัดระวังลิงก์ที่ได้รับจากข้อความ SMS ที่ถูกส่งมาจากบุคคลที่ไม่น่าไว้วางใจ, รวมไปถึงการเปิดใช้งานเครื่องมือป้องกันต่าง ๆ เช่น แอปแอนตี้ไวรัสรุ่นล่าสุด, เปิดการใช้งานฟีเจอร์ Google Play Protect, อัปเดตระบบของเครื่องเป็นประจำ, รวมทั้งการใช้งานระบบยืนยันตัวตนจากหลายทาง (MFA หรือ Multi-Factors Authentication) เป็นต้น เพื่อป้องกันตนเองจากภัยดังกล่าว

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv