สรุปสั้น

นักวิจัยจาก ESET เปิดเผย BTMOB โทรจันเข้าถึงระยะไกล (RAT) บน Android ที่เปิดให้อาชญากรไซเบอร์เช่าใช้พร้อม builder สำหรับสร้างเพย์โหลดมัลแวร์ที่ปรับให้เข้ากับลูกฟิชชิงแต่ละแบบ มัลแวร์มีฟีเจอร์ครบครันทั้งการขโมยข้อมูลเฉพาะ ดักจับธุรกรรมการเงิน จับภาพหน้าจอ และความสามารถควบคุมเครื่องระยะไกล ESET ระบุว่า BTMOB ถูกโฆษณาอย่างเปิดเผยบน clearweb และทำงานในรูปแบบ malware-as-a-service (MaaS) โดย APK builder ที่มาในชุดช่วยให้ปรับแต่งเพย์โหลดได้ง่ายโดยไม่ต้องเขียนโค้ด ลูกค้าเลือกชุดสิทธิ์ที่ APK จะร้องขอตอนติดตั้ง และกำหนดพฤติกรรมของแอปได้ เช่น ปิด Google Play, ซ่อนไอคอนเพื่อให้ลบยาก หรือป้องกันการเข้าสู่ sleep mode ปัจจุบัน BTMOB เคลื่อนไหวมากในบราซิลและละตินอเมริกา

รายละเอียดข่าว

เว็บไซต์ BleepingComputer รายงานเมื่อวันที่ 28 พฤษภาคม 2569 ว่า BTMOB ไม่ใช่โทรจัน Android ตัวใหม่ เพราะ ANYRUN เคยวิเคราะห์ไว้ตั้งแต่กุมภาพันธ์ 2568 และบริษัทข่าวกรองภัยคุกคาม Cyble เคยบันทึกว่าเป็นมัลแวร์ Android ขั้นสูง โดยในตอนนั้น Cyble พบตัวอย่าง BTMOB 2.5 ราว 15 ตัวอย่างในเวลาเกือบสองสัปดาห์ บ่งชี้ว่าผู้พัฒนากำลังพัฒนามัลแวร์อย่างต่อเนื่อง ตามรายงานของ ESET การขายดำเนินการผ่านช่อง Telegram ส่วนตัว ผู้โจมตีสามารถซื้อได้ด้วยการสมัครสมาชิกรายเดือน 700 ดอลลาร์ หรือจ่าย 5,000 ดอลลาร์สำหรับ lifetime license BTMOB ดูเหมือนเป็นวิวัฒนาการของมัลแวร์ตระกูล SpySolr และแพร่กระจายผ่านเว็บไซต์ฟิชชิงที่ปลอมตัวเป็นบริการสตรีมมิงและแพลตฟอร์มขุดคริปโตเคอร์เรนซี เหยื่อที่เป็นไปได้จะถูกเปลี่ยนเส้นทางไปยังพอร์ทัลที่เลียนแบบ Google Play และถูกหลอกให้ดาวน์โหลดแอปปลอม นักวิจัย Johnk3r และ Merl ยังพบแคมเปญ BTMOB ที่ใช้หน่วยงานรัฐบาลอาร์เจนตินาเป็นลูกล่อ

วิธีการโจมตี

BTMOB Android payload builder interface malware-as-a-service

จุดเด่นของ BTMOB คือ APK builder ที่ทำให้ผู้โจมตีที่ไม่มีทักษะการเขียนโค้ดสามารถสร้างเพย์โหลดตามสั่งได้ แพลตฟอร์มยังช่วยสร้างลูกฟิชชิงแบบ localized ให้ตรงกับหัวข้อแคมเปญ เมื่อแอปถูกติดตั้ง มัลแวร์จะใช้ความสามารถ Android Accessibility Services เพื่อยกระดับสิทธิ์และเข้าถึงระบบเพิ่มเติมโดยไม่ต้องให้ผู้ใช้โต้ตอบอีก ซึ่งเป็นเทคนิคที่ทำให้ควบคุมเครื่องและดักธุรกรรมการเงินได้ การที่ลูกค้ากำหนดได้เองว่าให้แอปปิด Google Play, ซ่อนไอคอน หรือป้องกัน sleep mode ยิ่งทำให้ตรวจจับและถอนการติดตั้งยากขึ้น แม้ ESET จะติดตามภัยคุกคามนี้และอัปเดต static detection rule อย่างต่อเนื่อง แต่การสร้างเพย์โหลดใหม่อย่างรวดเร็วสามารถบั่นทอนประสิทธิภาพของการป้องกันแบบชั้นเดียวได้

ผลกระทบต่อไทย

แม้ปัจจุบัน BTMOB จะเคลื่อนไหวมากในบราซิลและละตินอเมริกา แต่โมเดล MaaS ที่ขายเปิดเผยพร้อม builder สร้างลูกฟิชชิง localized ทำให้ผู้โจมตีสามารถปรับแคมเปญมาใช้กับเหยื่อในไทยได้ง่ายเพียงเปลี่ยนภาษาและธีม ผู้ใช้ Android ในไทยที่นิยมติดตั้งแอปนอก Google Play โดยเฉพาะแอปดูหนัง/สตรีมมิงเถื่อนและแอปขุดคริปโต ตกเป็นกลุ่มเสี่ยงโดยตรง การที่มัลแวร์ใช้ Accessibility Services ดักธุรกรรมการเงินยังเป็นภัยต่อผู้ใช้ mobile banking ในไทยซึ่งมีจำนวนมาก องค์กรและผู้ใช้ทั่วไปควรระวังเว็บไซต์ปลอมที่เลียนแบบ Google Play และหลีกเลี่ยงการติดตั้งแอปจากแหล่งที่ไม่เป็นทางการ

คำแนะนำ

  • ติดตั้งแอปจาก Google Play Store อย่างเป็นทางการเท่านั้น หลีกเลี่ยงการ sideload APK จากเว็บภายนอก
  • เปิดใช้ Google Play Protect เพื่อสแกนแอปบนเครื่อง
  • ตรวจสอบและเพิกถอนสิทธิ์ที่อันตราย โดยเฉพาะ Accessibility access หากไม่จำเป็น
  • ระวังเว็บไซต์ที่เลียนแบบ Google Play และบริการสตรีมมิง/ขุดคริปโตที่ชวนดาวน์โหลดแอป
  • ระวังแอปที่ขอสิทธิ์มากเกินจำเป็น หรือพยายามซ่อนไอคอนหลังติดตั้ง
  • ใช้โซลูชันความปลอดภัยมือถือหลายชั้น สำหรับองค์กรที่มีนโยบาย BYOD

แหล่งอ้างอิง