เมนู

ระวัง! มัลแวร์ Rocinante แฝงตัวในแอปธนาคาร ขโมยเงินของคุณได้

04 กันยายน 2567 | วรเมธ บุญทศ

ระวัง! มัลแวร์ Rocinante แฝงตัวในแอปธนาคาร ขโมยเงินของคุณได้

Rocinante มัลแวร์อันตรายที่คุณควรรู้จัก

Rocinante เป็นมัลแวร์ชนิดหนึ่งที่ถูกออกแบบมาเพื่อโจมตีอุปกรณ์มือถือ โดยเฉพาะอย่างยิ่งระบบปฏิบัติการ Android โดยเฉพาะสำหรับผู้ใช้ Android ในประเทศบราซิล กำลังประสบปัญหากับการโจมตีของมัลแวร์ชนิดนี้ ซึ่งมัลแวร์ตัวนี้มักจะแฝงตัวมาในแอปพลิเคชันปลอม หรือเว็บไซต์หลอกลวง เพื่อหลอกล่อให้ผู้ใช้ติดตั้งเข้าไปในอุปกรณ์ ซึ่งมีกลไกการทำงานที่ซับซ้อนและเป็นอันตรายต่อข้อมูลส่วนบุคคลและความปลอดภัยของอุปกรณ์

ผลกระทบจาก Rocinante

  • ขโมยข้อมูลส่วนตัว: Rocinante สามารถขโมยข้อมูลส่วนตัวของคุณ เช่น รหัสผ่าน ข้อมูลทางการเงิน ข้อมูลบัตรเครดิต และข้อมูลส่วนตัวอื่นๆ ที่คุณใช้ในการเข้าถึงแอปพลิเคชันต่างๆ บนอุปกรณ์ของคุณ
  • ควบคุมอุปกรณ์จากระยะไกล: มัลแวร์ตัวนี้สามารถควบคุมอุปกรณ์ของคุณจากระยะไกล ทำให้ผู้โจมตีสามารถทำอะไรก็ได้กับอุปกรณ์ของคุณ เช่น ลบข้อมูลสำคัญ หรือติดตั้งมัลแวร์อื่นๆ เพิ่มเติม
  • สร้างความเสียหายทางการเงิน: หากข้อมูลทางการเงินของคุณถูกขโมยไป ผู้โจมตีสามารถนำไปใช้ในการทำธุรกรรมที่ผิดกฎหมาย ทำให้คุณสูญเสียเงินจำนวนมาก
  • สร้างความเสียหายต่อชื่อเสียง: ข้อมูลส่วนตัวของคุณที่ถูกขโมยไปอาจถูกนำไปเผยแพร่ต่อสาธารณะ ทำให้เกิดความเสียหายต่อชื่อเสียงของคุณ

นอกจากการแฝงตัวอยู่ในแอปปลอมแล้ว มัลแวร์ Rocinante ยังมีเทคนิคอื่นๆ อีกมากมายในการหลบเลี่ยงการตรวจจับจากโปรแกรมป้องกันไวรัส เพื่อให้สามารถทำอันตรายต่ออุปกรณ์ของคุณได้อย่างเงียบๆ เทคนิคเหล่านี้รวมถึง

  • มัลแวร์จะปลอมตัวเป็นไฟล์ระบบปกติ หรือกระบวนการที่ทำงานอยู่ ทำให้โปรแกรมป้องกันไวรัสเข้าใจผิดว่าเป็นส่วนหนึ่งของระบบ
  • มัลแวร์จะเข้ารหัสโค้ดของตัวเอง ทำให้ยากต่อการวิเคราะห์และตรวจจับ
  • มัลแวร์จะเปลี่ยนแปลงรูปแบบของตัวเองอยู่ตลอดเวลา เพื่อหลีกเลี่ยงการถูกตรวจพบโดยลายเซ็นไวรัส
  • มัลแวร์จะพยายามปิดการทำงานของโปรแกรมป้องกันไวรัส หรือทำให้โปรแกรมป้องกันไวรัสทำงานผิดพลาด
  • มัลแวร์จะใช้ประโยชน์จากช่องโหว่ของระบบปฏิบัติการหรือแอปพลิเคชัน เพื่อเข้าควบคุมอุปกรณ์โดยไม่ถูกตรวจพบ

Rocinante พัฒนาความสามารถใหม่ๆ เพิ่มเติมหรือไม่?

มีโอกาสสูงที่มัลแวร์ Rocinante จะมีการพัฒนาความสามารถใหม่ๆ เพิ่มขึ้นเรื่อยๆ เพื่อให้สามารถโจมตีและควบคุมอุปกรณ์ของผู้ใช้ได้มากขึ้น

  • การพัฒนาอย่างต่อเนื่อง: มัลแวร์ทุกชนิดมักมีการพัฒนาและปรับปรุงอยู่ตลอดเวลา เพื่อหลบเลี่ยงการตรวจจับและเพิ่มประสิทธิภาพในการโจมตี
ความสามารถที่คาดว่าจะมีเพิ่ม
  • เข้าถึงกล้องหน้าจอ: อาจใช้เพื่อบันทึกภาพหรือวิดีโอของผู้ใช้
  • เปิดไมโครโฟน: อาจใช้เพื่อบันทึกเสียงสนทนาของผู้ใช้
  • โจมตีเครือข่าย Wi-Fi: อาจใช้เพื่อสร้างเครือข่าย Wi-Fi ปลอม หรือเข้าควบคุมเครือข่าย Wi-Fi ที่ผู้ใช้เชื่อมต่ออยู่
  • ขโมยข้อมูลประเภทอื่น: อาจขโมยข้อมูลที่ละเอียดอ่อนมากขึ้น เช่น ข้อมูลการแชท ข้อมูลตำแหน่ง หรือข้อมูลสุขภาพ
  • เหตุผลที่ต้องพัฒนา: ผู้สร้างมัลแวร์ต้องการให้มัลแวร์ของตนมีประสิทธิภาพมากขึ้น เพื่อให้สามารถขโมยข้อมูลของผู้ใช้ได้มากขึ้น และสร้างความเสียหายให้กับผู้ใช้ได้มากขึ้น

สรุป: แม้ว่าในปัจจุบันยังไม่มีรายงานอย่างเป็นทางการว่า Rocinante มีการพัฒนาความสามารถใหม่ๆ เพิ่มเติม แต่ก็เป็นเรื่องที่น่ากังวลและควรเตรียมตัวรับมือไว้ล่วงหน้า

ผู้เชี่ยวชาญด้านความปลอดภัยให้ความเห็นอย่างไรเกี่ยวกับภัยคุกคามจาก Rocinante?

  • การวิเคราะห์ซอร์สโค้ดของมัลแวร์เผยให้เห็นว่า ผู้ดำเนินการเรียก Rocinante ภายในว่า Pegasus (หรือ PegasusSpy) แต่ชื่อ Pegasus นี้ไม่มีความเกี่ยวข้องกับสปายแวร์ข้ามแพลตฟอร์มที่พัฒนาโดย NSO Group ซึ่งเป็นผู้จำหน่ายซอฟต์แวร์เฝ้าติดตามเชิงพาณิชย์
  • ที่กล่าวว่า Pegasus ได้รับการประเมินว่าเป็นผลงานของนักแสดงภัยคุกคามที่มีชื่อว่า DukeEugene ซึ่งเป็นที่รู้จักจากมัลแวร์สายพันธุ์ที่คล้ายกัน เช่น ERMAC, BlackRock, Hook และ Loot ตามการวิเคราะห์ล่าสุดโดย Silent Push
  • Rocinante กระจายตัวผ่านเว็บไซต์ปลอมที่มุ่งหลอกล่อผู้ใช้ที่ไม่สงสัยให้ติดตั้งแอปปลอมตัวปล่อยที่เมื่อติดตั้งแล้วจะขอสิทธิ์บริการการเข้าถึงเพื่อบันทึกกิจกรรมทั้งหมดบนอุปกรณ์ที่ติดเชื้อ ตัดขาดข้อความ SMS และให้บริการหน้าการเข้าสู่ระบบปลอม
  • นอกจากนี้ ยังสร้างการติดต่อกับเซิร์ฟเวอร์ควบคุมและสั่งการ (C2) เพื่อรอคำสั่งเพิ่มเติม – เพื่อดำเนินการจากระยะไกล ข้อมูลส่วนบุคคลที่เก็บเกี่ยวจะถูกส่งออกไปยังบอท Telegram นอกจากนี้ ยังตามมาด้วยการเกิดขึ้นของ “extensionware-as-a-service” ใหม่ที่โฆษณาเพื่อขายผ่านเวอร์ชันใหม่ของ Genesis Market ซึ่งถูกปิดโดยหน่วยงานบังคับใช้กฎหมายในช่วงต้นปี 2023 และออกแบบมาเพื่อขโมยข้อมูลที่ละเอียดอ่อนจากผู้ใช้ในภูมิภาคอเมริกาละติน (LATAM) โดยใช้ส่วนขยายเว็บเบราว์เซอร์ที่เป็นอันตรายที่เผยแพร่บน Chrome Web Store

“มันสามารถใช้ข้อมูลทั้งหมดที่รั่วไหลนี้เพื่อทำการยึดครองอุปกรณ์ (DTO) ของอุปกรณ์ โดยใช้สิทธิ์บริการการเข้าถึงเพื่อให้ได้การเข้าถึงระยะไกลอย่างเต็มรูปแบบบนอุปกรณ์ที่ติดเชื้อ”

ขั้นตอนการโจมตี

นอกจากสถาบันการเงินแล้ว ภาคธุรกิจอื่นๆ ได้รับผลกระทบจากมัลแวร์นี้หรือไม่?

ภาคธุรกิจที่อาจได้รับผลกระทบ

  • ภาคธุรกิจ e-commerce: มัลแวร์อาจขโมยข้อมูลบัตรเครดิตของลูกค้า ทำให้เกิดความเสียหายทางการเงิน และสร้างความเสียหายต่อชื่อเสียงของธุรกิจ
  • ภาคธุรกิจบริการ: มัลแวร์อาจเข้าถึงข้อมูลส่วนบุคคลของลูกค้า เช่น ที่อยู่ เบอร์โทรศัพท์ อีเมล ทำให้ข้อมูลเหล่านี้รั่วไหลออกไป
  • ภาคธุรกิจอุตสาหกรรม: มัลแวร์อาจเข้าควบคุมระบบควบคุมอุตสาหกรรม ทำให้เกิดความเสียหายต่อกระบวนการผลิต หรือแม้แต่ทำให้เกิดอุบัติเหตุ
  • ภาคธุรกิจสาธารณูปโภค: มัลแวร์อาจเข้าควบคุมระบบสาธารณูปโภค เช่น ระบบไฟฟ้า ระบบน้ำ ทำให้เกิดความเสียหายต่อการดำเนินชีวิตของประชาชน
  • ภาคธุรกิจสุขภาพ: มัลแวร์อาจเข้าถึงข้อมูลสุขภาพของผู้ป่วย ทำให้ข้อมูลเหล่านี้รั่วไหลออกไป และอาจนำไปสู่การฉ้อโกงประกันสุขภาพ

วิธีการป้องกัน Rocinante

  • หลีกเลี่ยงการดาวน์โหลดและติดตั้งแอปพลิเคชันจากแหล่งที่ไม่รู้จัก หรือร้านค้าแอปพลิเคชันที่ไม่ได้รับอนุญาต
  • การอัปเดตจะช่วยแก้ไขช่องโหว่ด้านความปลอดภัยที่อาจถูกมัลแวร์ใช้ในการโจมตี
  • โปรแกรมป้องกันไวรัสที่ดีจะช่วยตรวจจับและกำจัดมัลแวร์ได้อย่างมีประสิทธิภาพ
  • อย่าคลิกลิงก์หรือดาวน์โหลดไฟล์แนบจากอีเมลหรือข้อความที่ไม่รู้จัก
  • ก่อนที่จะติดตั้งแอปพลิเคชันใดๆ ให้ตรวจสอบสิทธิ์ที่แอปพลิเคชันนั้นขอ และอนุญาตเฉพาะสิทธิ์ที่จำเป็นเท่านั้น
  • การสำรองข้อมูลเป็นประจำจะช่วยให้คุณสามารถกู้คืนข้อมูลที่สูญหายไปได้ในกรณีที่อุปกรณ์ของคุณถูกโจมตี

ข้อควรจำ: การป้องกันตัวเองจากมัลแวร์เป็นสิ่งสำคัญมาก การปฏิบัติตามคำแนะนำข้างต้นจะช่วยลดความเสี่ยงในการถูกโจมตีจากมัลแวร์ Rocinante และมัลแวร์อื่นๆ ได้อย่างมาก

หากคุณคิดว่าอุปกรณ์ของคุณอาจติดมัลแวร์ Rocinante ให้รีบทำการสแกนหาไวรัส และติดต่อผู้เชี่ยวชาญเพื่อขอความช่วยเหลือทันที

ข้อมูลอ้างอิง

Rocinante Trojan Poses as Banking Apps to Steal Sensitive Data from Brazilian Android Users | thehackernews
Hackers Use Rocinante Malware to Take Over The Android Device Remotely | cybersecuritynews