มัลแวร์ Rocinante เปิดทางแฮกเกอร์ เข้าควบคุมเครื่องที่ใช้ Android จากระยะไกล

การแฮกกับ Android นั้นเรียกได้ว่าเป็นของคู่กัน และมีมัลแวร์ใหม่ ๆ เกิดขึ้นทุกวันซึ่งหลายตัวนั้นมีจุดประสงค์เพื่อเปิดทางให้แฮกเกอร์นั้นสามารถเข้าถึงระบบและทำการควบคุมได้ ซึ่งอาจจะเป็นเพื่อการยึดเครื่อง หรือใช้ในการชี้นำหลอกลวงเหยื่อในการกระทำการตามที่ทางแฮกเกอร์ต้องการ

จากรายงานโดยเว็บไซต์ Cyber Security News ได้มีการตรวจพบมัลแวร์ตัวใหม่ซึ่งถือกำเนิดจากประเทศบราซิลที่มีชื่อว่า Rocinante โดยทีมวิจัยจาก ThreatFabric ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านการพัฒนาโซลูชันความปลอดภัยไซเบอร์ โดยมัลแวร์ตัวดังกล่าวนั้นถูกจัดเป็นมัลแวร์ประเภทเพื่อการขโมยเงินจากบัญชีธนาคาร หรือ Banking Trojan ซึ่งตัวมัลแวร์นั้นจะปลอมตัวเป็นแอปพลิเคชันปลอมหลากชนิด เช่น แอปพลิเคชันธนาคาร เป็นต้น ซึ่งมัลแวร์ตัวดังกล่าวก็มีความสามารถมากมาย ไม่ว่าจะเป็น การตรวจจับการพิมพ์ (Keylogging) ผ่านทางระบบควบคุมพิเศษ หรือ Accessibility Mode, การเก็บข้อมูลภายในระบบ, การสร้างหน้าจอปลอมเพื่อหลอกเก็บรหัสผ่านเข้าสู่ระบบบัญชีธนาคารของเหยื่อ, การขโมยข้อมูลส่วนบุคคลของเหยื่อ (PII หรือ Personal Indentifiable Information) ไปจนถึงความสามารถในการเข้าควบคุมระบบจากระยะไกลอย่างสมบูรณ์แบบ โดยมัลแวร์ดังกล่าวนั้นมีการใช้แอปพลิเคชันสำหรับแชทชื่อดัง Telegram มาเป็นเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ผ่านทาง Bot ที่วางไว้ในห้องแชทที่สร้างมาเพื่อการนี้โดยเฉพาะบนแอปดังกล่าว ผ่านทางโปรโตคอลทั่วไป (HTTP) โดยมีการใช้โปรโตคอล WebSockets เพื่อรับส่งข้อมูล และใช้งานโปรโตคอล Firebase เพื่อลงทะเบียนเครื่องที่ตกเป็นเหยื่อของมัลแวร์ดังกล่าว นอกจากนั้นทางทีมวิจัยยังพบว่า ในเวอร์ชันแรก ๆ ของมัลแวร์ตัวนี้ยังได้มีการนำเอาโค้ดจากมัลแวร์ตัวอื่นอย่าง Hook และ Ermac มาใช้ในการทำการบันทึกหน้าจอ และทำการโจมตีเพื่อขโมยสินทรัพย์บนกระเป๋าเงินคริปโตเคอร์เรนซีอีกด้วย

ภาพจาก : https://cybersecuritynews.com/rocinante-remote-take-over/

แหล่งข่าวได้ระบุถึงวิธีการแพร่กระจายตัวดังกล่าวว่า แฮกเกอร์จะใช้วิธีการหลอกลวงเหยื่อด้วยการทำ Phishing เพื่อหลอกลวงให้เหยื่อทำการคลิกลิงก์ที่จะนำไปสู่หน้าเพจปลอม ที่หลอกว่าเป็นเว็บไซต์สำหรับดาวน์โหลดเครื่องมือเพื่อความปลอดภัยไซเบอร์ หรือ แอปพลิเคชันธนาคารชื่อดังต่าง ๆ (ในการระบาดครั้งนี้จะจำกัดอยู่เฉพาะธนาคารในประเทศบราซิล) โดยถ้าเหยื่อหลงเชื่อติดตั้ง ก็จะเปิดทางไปสู่การโจมตีตามที่ได้กล่าวไว้ข้างต้น

ปัจจุบันนั้นมีข่าวการระบาดอยู่เพียงแค่ภายในประเทศบราซิลเท่านั้น แต่ทุกฝ่ายก็ไม่ควรจะนิ่งนอนใจแต่อย่างใด เพราะในอนาคตอาจมีแฮกเกอร์สามารถนำเอาตัวมัลแวร์ หรือ ใช้เทคนิครูปแบบใกล้เคียงกันมาพัฒนาทั้งตัวมัลแวร์และวิธีการเพื่อใช้โจมตีภูมิภาคนี้ในอนาคตก็เป็นได้

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv