ระวังมัลแวร์ Android ตัวนี้ที่โรงงานจะรีเซ็ตโทรศัพท์ของคุณหลังจากขโมยเงินของคุณ

Jan 28 2022

การวิจัยที่เผยแพร่เมื่อต้นสัปดาห์นี้แสดงให้เห็นว่ามัลแวร์ธนาคาร Android ที่น่ารังเกียจได้พัฒนาแล้ว มาพร้อมกับคุณสมบัติใหม่ที่น่าตกใจมากมาย รวมถึงความสามารถในการรีเซ็ตอุปกรณ์เป็นค่าเริ่มต้นจากโรงงานหลังจากขโมยเงินของคุณ มัลแวร์ที่เป็นปัญหานี้เรียกว่า BRATA ย่อมาจาก “Brazilian Remote Access Tool Android

การวิจัย ที่ เผยแพร่เมื่อต้นสัปดาห์นี้แสดงให้เห็นว่ามัลแวร์ธนาคาร Android ที่น่ารังเกียจได้พัฒนาแล้ว มาพร้อมกับคุณสมบัติใหม่ที่น่าตกใจมากมาย รวมถึงความสามารถในการรีเซ็ตอุปกรณ์เป็นค่าเริ่มต้นจากโรงงานหลังจากขโมยเงินของคุณ

มัลแวร์ที่เป็นปัญหานี้เรียกว่า BRATA ย่อมาจาก “Brazilian Remote Access Tool Android” อย่างที่คุณคาดหวังจากชื่อของมัน เดิมทีปรากฏขึ้นในบราซิลเมื่อหลายปีก่อน แต่หลังจากนั้นก็แพร่กระจายไปยังส่วนอื่นๆ ของโลก นักวิจัยจากบริษัทรักษาความปลอดภัย Cleafy เขียนในสัปดาห์นี้ว่ามัลแวร์เวอร์ชันใหม่ล่าสุด ซึ่งพบครั้งแรกในเดือนธันวาคม มีคุณสมบัติเพิ่มเติมจำนวนหนึ่งที่ทำให้อาชญากรมีจุดได้เปรียบที่ดีกว่าเหยื่อของพวกเขามากกว่าการทำซ้ำครั้งก่อน

ในทางเทคนิค BRATA เป็นโทรจันการธนาคารซึ่งหมายความว่าออกแบบมาเพื่อขโมยเงินจากแอปธนาคารหรือบริการทางการเงินอื่นๆ นอกจากนี้ยังเป็น RAT (เครื่องมือการเข้าถึงระยะไกล) ซึ่งเป็นคำทั่วไปสำหรับโปรแกรมที่ปรับใช้โค้ดบนอุปกรณ์จากระยะไกลได้ หนูมักใช้โดยอาชญากรในการแพร่กระจายมัลแวร์

เป็นที่ทราบกันดีว่านักพัฒนาของ BRATA ใช้แอพปลอมที่โทรจันเพื่อแทรกซึมโทรศัพท์ของเหยื่อ แอปดังกล่าวสามารถดูแลการค้าบน Google Play หรือไซต์ที่ถูกต้องตามกฎหมายอื่นๆ โดยที่แอปดังกล่าวจะดักผู้ใช้ที่ไม่สงสัย เมื่อดาวน์โหลดแอปแล้ว พวกเขาจะขอการอนุญาตที่ล่วงล้ำซึ่งทำให้ผู้ดำเนินการมัลแวร์สามารถเข้าถึงอุปกรณ์ของผู้ใช้อย่างใกล้ชิด

โทรจันมักมาพร้อมกับคีย์ล็อกเกอร์และความสามารถด้านสปายแวร์อื่นๆ และ BRATA ก็ไม่มีข้อยกเว้น นักวิจัยเขียนโดยใช้โทรจันนี้ อาชญากรจะปรับใช้หน้าเข้าสู่ระบบปลอมบนโทรศัพท์ของผู้ใช้ ซึ่งช่วยให้พวกเขาสามารถรวบรวมข้อมูลรับรองการเข้าสู่ระบบไปยังบัญชี e-banking

เวอร์ชัน ล่าสุดของเขามาพร้อมกับความสามารถเพิ่มเติมที่ช่วยให้แฮกเกอร์สามารถลบหลักฐานการกระทำผิดของพวกเขาได้ด้วยการรีเซ็ตอุปกรณ์จากโรงงานหลังจากขโมยแอปพลิเคชัน e-banking เป็นเงินสด "กลไกนี้แสดงถึงสวิตช์ฆ่าสำหรับมัลแวร์นี้" นักวิจัยเขียน โดยสังเกตว่าการรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานมักถูกตรวจพบหลังจาก "การฉ้อโกงทางธนาคารเสร็จสมบูรณ์แล้ว" ในลักษณะนี้ เหยื่อ "จะเสียเวลามากขึ้นก่อนที่จะเข้าใจว่ามีการกระทำที่เป็นอันตรายเกิดขึ้น" พวกเขาตั้งข้อ สังเกต กล่าวอีกนัยหนึ่ง กลไกการรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานได้รับการออกแบบมาเพื่อให้เหยื่อตาบอด ในขณะที่อาชญากรไซเบอร์ใช้ สินค้าที่ได้มาโดยมิชอบ

นักวิจัยกล่าวว่าการรีเซ็ตเป็นค่าเริ่มต้นจากโรงงานยังพบเห็นได้ในช่วงเวลาที่มีการติดตั้งแอปโทรจันของ BRATA ในสภาพแวดล้อมเสมือนจริง สิ่งนี้น่าสนใจเพราะว่านักวิจัยมักจะติดตั้งโปรแกรมที่เป็นอันตรายในสภาพแวดล้อมเสมือนจริงเพื่อศึกษาอย่างปลอดภัย แนวคิดก็คือนักพัฒนาของ BRATA อาจเริ่มการระเบิดของมัลแวร์เพื่อป้องกันการวิเคราะห์โค้ดของซอฟต์แวร์ ซึ่งทำให้แฮกเกอร์ "หมวกขาว" ไม่สามารถทำวิศวกรรมย้อนกลับในการเขียนโปรแกรมได้

นักวิจัยเขียนว่า BRATA เวอร์ชันก่อนหน้านี้เคยพบเห็นในสหรัฐอเมริกา และเวอร์ชันล่าสุดเพิ่งมีให้เห็นโดยมุ่งเป้าไปที่สถาบันการธนาคารในสหราชอาณาจักร โปแลนด์ และอิตาลี

เนื่องจาก BRATA ไว้วางใจแอปโทรจัน แนวทางการป้องกันที่ดีที่สุดคือการตรวจสอบ ทุกแอปที่คุณดาวน์โหลด ซึ่งเป็นสิ่งที่คุณควรทำอยู่ แล้ว ในช่วงต้นปี 2021 มีรายงานว่าแอป BRATA ถูกแอบเข้าไปใน Google Play Store แม้ว่าจะถูก ลบ ออกในภายหลัง โดยทั่วไป คุณควรยึดติดกับแอปที่เป็นที่รู้จักและเชื่อถือได้ และหลีกเลี่ยง โปรแกรมที่พบในไซต์ของบุคคลที่สามที่ไม่สมบูรณ์ เกรงว่าคุณจะลงเอยด้วยโทรศัพท์ที่เต็มไปด้วยมัลแวร์