มัลแวร์โทรจันธนาคารใหม่บน Android
มัลแวร์โทรจันธนาคารใหม่ กำลังโจมตีแอปธนาคาร การเงิน และคริปโตมากกว่า 180 แอปใน 10 ประเทศ บริษัทความปลอดภัยไซเบอร์ Cyble รายงานว่า มัลแวร์นี้มีชื่อว่า OverlayPhantom และถูกแจกจ่ายผ่าน URL ที่เป็นอันตรายซึ่งเลียนแบบแอปพลิเคชันที่เชื่อถือได้
วิธีการทำงานของมัลแวร์
Cyble ระบุว่ามัลแวร์นี้ใช้โซ่การติดเชื้อแบบ สองขั้นตอน โดยเริ่มจากแอปดรอปเปอร์ที่เลียนแบบ ID Austria ซึ่งเป็นแอปพลิเคชันระบุตัวตนของรัฐบาลออสเตรีย และ TikTok. เมื่อถูกติดตั้ง OverlayPhantom จะปลอมตัวเป็น Google Play Services และใช้บริการการเข้าถึงของ Android เพื่อควบคุมอุปกรณ์ที่ติดเชื้ออย่างมีประสิทธิภาพ
เป้าหมายของมัลแวร์
มัลแวร์นี้มุ่งเป้าไปที่แอปธนาคาร การเงิน และคริปโตใน สหรัฐอเมริกา, ออสเตรเลีย, เยอรมนี, ฝรั่งเศส, เบลเยียม, ฟินแลนด์, เนเธอร์แลนด์, อิตาลี, สเปน และ สหราชอาณาจักร. บริษัทกล่าวว่า OverlayPhantom สามารถดำเนินการคำสั่งระยะไกลได้มากกว่า 30 คำสั่ง, ทำการสตรีมหน้าจอแบบเรียลไทม์, แสดงหน้าจอปลอม และขโมยข้อมูลประจำตัวที่เก็บรวบรวมผ่านโครงสร้างคำสั่งและควบคุม
การทำงานของมัลแวร์
มัลแวร์นี้จะตรวจสอบแอปพลิเคชันที่อยู่ด้านหน้าและตรวจสอบว่าแอปนั้นอยู่ในรายการเป้าหมายที่ตั้งไว้หรือไม่ เมื่อพบการจับคู่ มันจะแสดงหน้าจอ WebView ปลอมที่ออกแบบมาให้เหมือนกับแอปพลิเคชันที่ถูกต้องตามกฎหมาย หน้าจอเหล่านี้สามารถดักจับชื่อผู้ใช้ รหัสผ่าน รายละเอียดบัตร PIN และข้อมูลที่ละเอียดอ่อนอื่นๆ
ฟังก์ชันเพิ่มเติมของมัลแวร์
ตามข้อมูลของ Cyble มัลแวร์นี้ยังสามารถ:
- จำลองการเคลื่อนไหว
- จัดการเนื้อหาคลิปบอร์ด
- ล็อคหน้าจออุปกรณ์
- แสดงการแจ้งเตือนปลอม
รายงานระบุว่า OverlayPhantom ใช้พอร์ตคำสั่งและควบคุมแยกต่างหากสำหรับการส่งคำสั่ง การรายงานสถานะอุปกรณ์ และการสตรีมหน้าจอ
การค้นพบและการติดตาม
Cyble กล่าวว่า มัลแวร์นี้มีการใช้งานตั้งแต่ เดือนพฤษภาคม 2025 และถูกค้นพบระหว่างการสอบสวนเกี่ยวกับการเลียนแบบ URL ที่เกี่ยวข้องกับรัฐบาล
ติดตามเราบน X, Facebook และ Telegram
อย่าพลาดข่าวสาร – สมัครรับการแจ้งเตือนทางอีเมลที่ส่งตรงถึงกล่องจดหมายของคุณ
