HookBot มัลแวร์อันตราย เจาะแอปฯ ผ่านการโจมตีแบบหน้าจอซ้อนทับ
จากงานวิจัยล่าสุดของ Netcraft ได้เปิดเผยข้อมูลเกี่ยวกับ “HookBot” ซึ่งเป็นโทรจันบนระบบ Android ที่มีความซับซ้อนสูงและกำลังขยายตัวในโลกอาชญากรรมทางไซเบอร์อย่างต่อเนื่อง โดย HookBot ถูกพบครั้งแรกในปี 2023 และได้พัฒนาความสามารถอย่างรวดเร็ว
โดยมุ่งโจมตีผู้ใช้งานระบบ Android ทั่วโลกด้วยการโจมตีแบบซ้อนทับหน้าจอ (Screen Overlay Attacks), การบันทึกการกดแป้นพิมพ์ (Keylogging) และการดักข้อความ SMS เพื่อขโมยข้อมูลสำคัญ เช่น ข้อมูลการเข้าสู่ระบบธนาคาร รหัสผ่าน และรหัสยืนยันแบบสองขั้นตอน (Two Factor Authentication: 2FA)
Hookbot ทำงานอย่างไร
การทำงานของ HookBot เริ่มต้นเมื่อเหยื่อทำการติดตั้งแอปพลิเคชันที่เป็นอันตราย ซึ่งมักถูกดาวน์โหลดจากแหล่งที่ไม่ปลอดภัย หรือบางกรณีอาจเป็นแอปพลิเคชันอันตรายที่ผ่านมาตรการตรวจสอบความปลอดภัยของ Google Play Store แล้ว เมื่อแอปฯ ดังกล่าวถูกติดตั้งสำเร็จ มันจะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C2 Server) ทำให้ HookBot สามารถรับการอัปเดตและคำสั่งใหม่ ๆ ได้ทาง
Netcraft อธิบายเสริมว่า “มัลแวร์จะเริ่มดึงข้อมูลของผู้ใช้ด้วยวิธีการต่าง ๆ เช่น การซ้อนทับหน้าจอแอปพลิเคชันและการสอดส่องการใช้งาน” ซึ่งทำให้ HookBot สามารถติดตามและดึงข้อมูลได้โดยไม่ถูกตรวจจับ
หนึ่งในเทคนิคที่มีประสิทธิภาพที่สุดของ HookBot คือการโจมตีแบบซ้อนทับหน้าจอ โดยการวางเนื้อหาทับบนหน้าจอแอปพลิเคชันจริง ทำให้ผู้ใช้งานหลงเชื่อและกรอกข้อมูลสำคัญในหน้าจอที่ดูเหมือนถูกต้อง Netcraft พบตัวอย่างในหลายกรณีที่เลียนแบบแบรนด์ยอดนิยม โดยรายงานระบุว่า “ในบางกรณี หน้าจอซ้อนทับถูกออกแบบมาอย่างแนบเนียน มีการใช้โลโก้และองค์ประกอบของแบรนด์ รวมถึงเลียนแบบหน้าตาของแอปฯ จริง”
ภัยคุกคามที่รุนแรงกว่า Screen Overlay Attack
อันตรายของ HookBot ไม่ได้หยุดแค่การสร้างหน้าจอซ้อนทับเพื่อขโมยข้อมูลเท่านั้น แต่มันยังเพิ่มฟีเจอร์ขั้นสูงกว่าเพื่อแฝงตัวเก็บข้อมูลอย่างลับ ๆ ไม่ว่าจะเป็นการบันทึกการกดแป้นพิมพ์ของผู้ใช้งาน (Keystroke Logging), การจับภาพหน้าจอและการดักจับข้อความ SMS โดยเฉพาะข้อความที่มีรหัสการยืนยันแบบสองขั้นตอน (Two Factor Authentication: 2FA)
มัลแวร์นี้ยังสามารถจัดการกับสิทธิ์การเข้าถึง (Accessibility Permissions) ของอุปกรณ์ เพื่อกระทำการที่เป็นอันตราย เช่น การส่งข้อความผ่านช่องทางการสื่อสารอื่นๆ ทำให้ HookBot สามารถแพร่กระจายไปยังอุปกรณ์อื่นได้เหมือนเวิร์ม
การทำมัลแวร์เชิงพานิชย์
จากการวิเคราะห์ของ Netcraft พบว่าเบื้องหลังของมัลแวร์ HookBot มีการกระทำในเชิงพาณิชย์ที่ชัดเจน โดย HookBot จะถูกกระจายผ่านแอปพลิเคชันหนึ่งเพื่อการจำหน่ายเป็นแพ็คเกจต่าง ๆ โดยมีการเสนอทางเลือกการซื้อที่หลากหลายให้รองรับกับงบประมาณและความต้องการที่หลากหลายของเหล่าอาชญากรทางไซเบอร์ที่อยากครอบครองมัน
สิ่งสำคัญที่ทำให้ HookBot แพร่กระจายได้อย่างรวดเร็ว คือ เครื่องมือการสร้างมัลแวร์หรือ Builder Tool ที่ใช้งานง่าย ช่วยให้อาชญากรทางไซเบอร์สามารถสร้างมัลแวร์ตัวใหม่ได้ง่าย ๆ อีกทั้งเครื่องมือนี้ยังช่วยอำพรางพฤติกรรมการโจมตีของมัลแวร์ ทำให้การตรวจจับยากขึ้น นอกจากนี้ HookBot ยังใช้เครื่องมือ Obfuscapk เพื่อช่วยหลีกเลี่ยงการตรวจจับโดยการสร้างลักษณะภายนอกของแอปให้แตกต่างกันในแต่ละกรณี ซึ่งการใช้เครื่องมือเหล่านี้ร่วมกันทำให้ผู้พัฒนาและผู้จัดจำหน่ายมัลแวร์สามารถสร้างแอปที่มีลักษณะเฉพาะตัวได้
แม้ว่าในปัจจุบันจะมีความพยายามเพิ่มความตระหนักรู้ถึงความรุนแรงของภัยคุกคาม HookBot และมีการพยายามขัดขวางการแพร่กระจายของมัน แต่ความสามารถในการปรับตัวและการเข้าถึงที่ง่ายดายของ HookBot ยังคงทำให้มัลแวร์นี้แพร่กระจายต่อไป ซึ่งทาง Netcraft ได้ทำการสรุปไว้ว่า “Hookbot ยังคงเป็นที่ต้องการของตลาดมืดมากขึ้นเรื่อยๆ ตราบเท่าที่มัลแวร์ตัวนี้กลายเป็นสินค้าที่อาชญากรทางไซเบอร์เข้าถึงง่ายและใช้งานสะดวก เพราะฉะนั้นการแพร่กระจายของ Hookbot จึงยังคงมีแนวโน้มเพิ่มขึ้นต่อไป”
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :
Bay Computing Public Co., Ltd
Tel: 02-115-9956
Email: info@baycoms.com
Website: www.baycoms.com
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
