ในโลกที่สมาร์ทโฟนกลายเป็นส่วนหนึ่งของชีวิตประจำวัน ภัยคุกคามทางไซเบอร์ก็พัฒนาไม่หยุดยั้ง ล่าสุด Anatsa มัลแวร์แบงก์กิ้งบน Android ที่เคยสร้างความเสียหายมาแล้ว ได้หวนกลับมาสร้างความปั่นป่วนอย่างหนักอีกครั้ง โดยคราวนี้มุ่งเป้าโจมตีผู้ใช้งานใน สหรัฐอเมริกาและแคนาดา ผ่านแอปพลิเคชันปลอมที่แฝงตัวอยู่ใน Google Play Store ซึ่งเป็นแหล่งดาวน์โหลดแอปที่หลายคนวางใจ
Anatsa คืออะไร และมันทำงานอย่างไร?
Anatsa หรือที่รู้จักกันในชื่อ TeaBot และ Toddler เป็นมัลแวร์ประเภทแบงก์กิ้งโทรจันที่ถูกออกแบบมาเพื่อขโมยข้อมูลสำคัญทางการเงินของคุณ มัลแวร์ตัวนี้มีกลยุทธ์ที่น่ากลัวคือการปลอมตัวเป็นแอปพลิเคชันยูทิลิตี้ทั่วไป เช่น เครื่องมือสแกน PDF, แอปจัดการไฟล์, แอปแปลภาษา, หรือแม้กระทั่งแอปทำความสะอาดโทรศัพท์
นักวิจัยจาก ThreatFabric บริษัทด้านความปลอดภัยมือถือของเนเธอร์แลนด์ ได้เปิดเผยกลไกการทำงานของ Anatsa อย่างละเอียด เมื่อมัลแวร์นี้แทรกซึมเข้ามาในอุปกรณ์ มันจะแสดง หน้าจอปลอม (Overlay Attack) ทับแอปพลิเคชันธนาคารจริงของคุณ โดยอ้างว่าบริการถูกระงับชั่วคราวเพื่อบำรุงรักษา ซึ่งเป็นกลอุบายที่หลอกให้เหยื่อกรอกข้อมูลล็อกอินธนาคารโดยไม่รู้ตัว
กลยุทธ์การหลอกลวงที่ซับซ้อน
แคมเปญของ Anatsa มีกระบวนการที่ถูกวางแผนมาอย่างดี:
- สร้างความน่าเชื่อถือ: ผู้โจมตีจะสร้างโปรไฟล์นักพัฒนาบน Google Play และเผยแพร่แอปที่ดูถูกต้องตามกฎหมายและทำงานได้จริงในตอนแรก
- รอเวลา: เมื่อแอปได้รับความนิยมและมีผู้ใช้งานจำนวนมาก (อาจถึงหลักหมื่นหรือแสนดาวน์โหลด) ผู้โจมตีจะปล่อยอัปเดตแอปพลิเคชัน ซึ่งในอัปเดตนี้เองที่ ลักลอบฝังโค้ดมัลแวร์ Anatsa ลงไป
- ติดตั้งมัลแวร์แบบเงียบๆ: โค้ดที่ฝังอยู่จะทำการดาวน์โหลดและติดตั้ง Anatsa บนอุปกรณ์ของเหยื่อในฐานะแอปพลิเคชันแยกต่างหาก
- โจมตีเต็มรูปแบบ: มัลแวร์จะรับรายการธนาคารและสถาบันการเงินเป้าหมายจากเซิร์ฟเวอร์ภายนอก จากนั้นก็เริ่มปฏิบัติการขโมยข้อมูล ทั้งข้อมูลล็อกอิน (เพื่อเข้ายึดบัญชี), บันทึกการกดแป้นพิมพ์ (keylogging) หรือแม้กระทั่งควบคุมอุปกรณ์เพื่อทำธุรกรรมทางการเงินโดยอัตโนมัติ (Device-Takeover Fraud - DTO)
สิ่งที่ทำให้ Anatsa ตรวจจับได้ยากและประสบความสำเร็จสูง คือธรรมชาติของการโจมตีที่เป็นวงจร ซึ่งมีการสลับกับการพักกิจกรรมเป็นช่วงๆ ทำให้ระบบป้องกันตรวจจับพฤติกรรมได้ยากขึ้น
กรณีศึกษาล่าสุด: แอป "Document Viewer - File Reader"
แอปที่ถูกค้นพบล่าสุดที่มุ่งเป้าผู้ชมในอเมริกาเหนือ เป็นตัวอย่างที่ชัดเจนของกลยุทธ์นี้ โดยปลอมตัวเป็นแอปชื่อ "Document Viewer - File Reader" ที่เผยแพร่โดยนักพัฒนาชื่อ "Hybrid Cars Simulator, Drift & Racing"
สถิติจาก Sensor Tower ชี้ว่าแอปนี้ถูกเผยแพร่ครั้งแรกเมื่อวันที่ 7 พฤษภาคม 2568 และได้รับความนิยมอย่างรวดเร็ว ขึ้นถึงอันดับสี่ในหมวด "เครื่องมือฟรียอดนิยม" เมื่อวันที่ 29 มิถุนายน 2568 และถูกดาวน์โหลดไปแล้ว กว่า 90,000 ครั้ง ก่อนที่จะถูกลบออกจาก Play Store
นอกจากกลยุทธ์การแพร่กระจายที่ซับซ้อนแล้ว Anatsa ยังมีลูกเล่นอันชาญฉลาดในการแสดง ข้อความแจ้งเตือนการบำรุงรักษาปลอม เมื่อผู้ใช้งานพยายามเข้าถึงแอปธนาคาร ซึ่งไม่เพียงแต่ปกปิดกิจกรรมมัลแวร์ แต่ยังป้องกันไม่ให้ลูกค้าติดต่อธนาคาร ทำให้การตรวจจับการฉ้อโกงทางการเงินล่าช้าออกไป
การตอบสนองของ Google และสิ่งที่คุณทำได้
หลังจากมีการเผยแพร่ข่าว Google ได้ให้แถลงการณ์ว่า แอปพลิเคชันที่เป็นอันตรายที่ระบุทั้งหมดได้ถูกลบออกจาก Google Play แล้ว และผู้ใช้จะได้รับการป้องกันโดยอัตโนมัติด้วย Google Play Protect ซึ่งสามารถเตือนผู้ใช้หรือบล็อกแอปที่ทราบว่ามีพฤติกรรมที่เป็นอันตรายบนอุปกรณ์ Android ที่มี Google Play Services
เพื่อความปลอดภัยของคุณเอง ขอแนะนำให้คุณ:
- ระมัดระวังก่อนดาวน์โหลด: ตรวจสอบชื่อผู้พัฒนา รีวิว และสิทธิ์ที่แอปขออย่างละเอียด แม้จะเป็นแอปบน Google Play Store ก็ตาม
- ติดตั้ง Antivirus/Security Software: ใช้อุปกรณ์ Android ควรมีโปรแกรมป้องกันไวรัสที่เชื่อถือได้และอัปเดตอยู่เสมอ
- สังเกตความผิดปกติ: หากพบว่าแอปธนาคารมีข้อความแปลกๆ หรือมีการขอสิทธิ์ที่ดูไม่สมเหตุสมผล ควรหยุดใช้งานและตรวจสอบทันที
- อัปเดตระบบปฏิบัติการและแอปอยู่เสมอ: การอัปเดตจะช่วยปิดช่องโหว่ความปลอดภัยที่ถูกค้นพบ
ภัยคุกคามทางไซเบอร์นั้นมีการพัฒนาอยู่ตลอดเวลา การรู้เท่าทันและระมัดระวังคือเกราะป้องกันที่ดีที่สุดสำหรับข้อมูลและทรัพย์สินทางการเงินของคุณ
_____________________________________________________________________________________________________________________________________________________________________
ที่มา: https://thehackernews.com/2025/07/anatsa-android-banking-trojan-hits.html