สรุปสั้น
นักวิจัยจาก zLabs ของบริษัท Zimperium ได้บันทึกมัลแวร์ Android banking trojan ตัวใหม่ชื่อ Rokarolla ที่เล็งเป้าแอปธนาคารและคริปโตรวม 217 แอป พร้อมคำสั่งควบคุมระยะไกลถึง 137 คำสั่ง ซึ่งมากกว่า HOOK trojan ที่มี 107 คำสั่ง ทำให้ผู้โจมตีสามารถควบคุมโทรศัพท์ที่ติดมัลแวร์ได้เกือบทั้งหมด ตั้งแต่การขโมย PIN หน้าจอล็อก อ่านและส่ง SMS เพื่อดักจับรหัส OTP ของธนาคาร ไปจนถึงการเขียนทับ clipboard เพื่อเปลี่ยนที่อยู่กระเป๋าคริปโตให้เป็นของผู้โจมตี และปิด Google Play Protect ได้
Rokarolla แพร่กระจายผ่านเว็บไซต์อันตรายที่ปลอมเป็นแอปยอดนิยมอย่าง TikTok และ Chrome โดยสิ่งแรกที่เหยื่อติดตั้งคือ dropper ที่ปลอมเป็น Google Play Protect เพื่อหลอกให้เหยื่ออนุญาตสิทธิ์ Accessibility ซึ่งเป็นสิทธิ์หลักที่ขับเคลื่อน chain การโจมตีทั้งหมด มัลแวร์ยังใช้เทคนิคถ่ายภาพหน้าจอผ่าน Accessibility แทนการใช้ MediaProjection ที่จะแสดง prompt ให้ผู้ใช้เห็น ทำให้การสอดแนมเป็นไปอย่างเงียบเชียบ
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 16 มิถุนายน พ.ศ. 2569 ว่านักวิจัยจาก zLabs ของบริษัท Zimperium ได้ค้นพบมัลแวร์ Android banking trojan ตัวใหม่ชื่อ Rokarolla ซึ่งตั้งชื่อตามเซิร์ฟเวอร์ command-and-control ที่มัลแวร์ใช้สื่อสาร มัลแวร์ตัวนี้เล็งเป้าแอปธนาคารและคริปโตรวม 217 แอป และมาพร้อมคำสั่งควบคุมระยะไกลมากถึง 137 คำสั่ง ซึ่งมากกว่า HOOK trojan ที่นักวิจัย Zimperium เคยบันทึกไว้ที่ 107 คำสั่ง
Rokarolla แพร่กระจายผ่านเว็บไซต์อันตรายที่ปลอมตัวเป็นแอปยอดนิยมเช่น TikTok และ Chrome สิ่งแรกที่เหยื่อติดตั้งคือ dropper ที่ปลอมเป็น Google Play Protect เพื่อใช้การปลอมตัวนั้นในการติดตั้ง payload จริงและขอสิทธิ์ Accessibility เมื่อมัลแวร์ทำงานแล้ว คำสั่งแรกๆ ที่ดำเนินการคือการปิด Play Protect เพื่อป้องกันการตรวจจับ
กลไกการขโมยข้อมูลทำงานผ่านระบบ overlay มัลแวร์ดึงรายชื่อแอปเป้าหมายจากเซิร์ฟเวอร์ และสำหรับแต่ละแอปที่พบว่าติดตั้งอยู่ในเครื่อง จะดาวน์โหลดหน้าเข้าสู่ระบบปลอมแบบ HTML แล้วจัดเก็บไว้ในฐานข้อมูลภายใน เมื่อเหยื่อเปิดแอปธนาคารหรือกระเป๋าคริปโตจริง มัลแวร์จะวางหน้าปลอมทับทันทีและดักจับทุกสิ่งที่พิมพ์เข้าไป รวมถึงรายละเอียดบัตรเครดิต overlay อีกตัวปลอมเป็นหน้าจอล็อก Android เพื่อขโมย PIN, pattern หรือรหัสผ่าน ทำให้ผู้โจมตีควบคุมโทรศัพท์ได้แม้ขณะล็อกหน้าจอ
มัลแวร์อ่าน SMS ทุกข้อความบนเครื่องและส่งข้อความได้เอง ซึ่งเพียงพอสำหรับดักจับรหัส OTP ที่ธนาคารใช้อนุมัติการเข้าสู่ระบบและทำธุรกรรม โดยการตั้งตัวเองเป็นแอปเริ่มต้นสำหรับข้อความและโทรศัพท์ มัลแวร์ยังสามารถบล็อกสายเรียกเข้าจากธนาคารที่โทรมาเตือนเหยื่อได้อีกด้วย ฟีเจอร์ keylogger และ screen logger บันทึกทุกสิ่งที่ผู้ใช้พิมพ์และเห็น มัลแวร์ยังดึงรายชื่อผู้ติดต่อและอ่านการแจ้งเตือนทั้งหมด
สำหรับการขโมยคริปโต Rokarolla เขียนทับ clipboard อย่างเงียบเชียบ สลับที่อยู่กระเป๋าคริปโตที่คัดลอกไว้เป็นของผู้โจมตี ทำให้การชำระเงินคริปโตไปลงบัญชีผิด ด้านการสอดแนม มัลแวร์ข้ามการใช้ MediaProjection screen casting ที่จะแสดง prompt การบันทึกให้เห็น แต่ใช้การถ่ายภาพหน้าจอผ่าน Accessibility แทน บีบอัดเป็น PNG แล้วส่งออกทีละเฟรม วิธีนี้เรียบง่ายและเงียบกว่า hidden VNC ที่พบในมัลแวร์ตระกูล Klopatra
มัลแวร์มี C2 domain สำรองหลายโดเมนและสามารถรับโดเมนใหม่ได้แบบ on-the-fly ทำให้การ takedown เซิร์ฟเวอร์ตัวเดียวแทบไม่มีผล บริษัท Zimperium ไม่ได้ระบุว่า Rokarolla เชื่อมโยงกับกลุ่มใด แต่สิ่งที่ build แสดงออกคือเจตนาในการสร้าง banking trojan ที่ออกแบบมาเพื่อเอาชนะมาตรการป้องกันที่ผู้ใช้ถูกบอกให้พึ่งพา ตั้งแต่ Play Protect จนถึงหน้าจอล็อก
วิธีการโจมตี
chain การโจมตีของ Rokarolla เริ่มจากการหลอกให้เหยื่อดาวน์โหลดแอปจากเว็บไซต์ปลอม (เช่น TikTok หรือ Chrome ปลอม) แอปที่ดาวน์โหลดมาเป็น dropper ที่ปลอมเป็น Google Play Protect เพื่อสร้างความน่าเชื่อถือ จากนั้นขอสิทธิ์ Accessibility ซึ่งเป็นสิทธิ์ตัวเดียวที่ขับเคลื่อนการโจมตีทั้งหมด:
เมื่อได้สิทธิ์ Accessibility แล้ว มัลแวร์ปิด Google Play Protect ทันที จากนั้นตั้งตัวเองเป็นแอปเริ่มต้นสำหรับ SMS และโทรศัพท์ ดาวน์โหลดหน้า overlay ปลอมสำหรับแอปเป้าหมาย 217 แอป เมื่อเหยื่อเปิดแอปธนาคารหรือคริปโต มัลแวร์วาง overlay ทับเพื่อดักจับ credential overlay อีกตัวปลอมเป็นหน้าจอล็อกเพื่อขโมย PIN จากนั้น SMS OTP ถูกดักจับเพื่ออนุมัติธุรกรรม สายเรียกเข้าจากธนาคารถูกบล็อก clipboard ถูกเขียนทับเพื่อเปลี่ยนที่อยู่คริปโต และภาพหน้าจอถูกถ่ายผ่าน Accessibility อย่างเงียบเชียบ
ผลกระทบต่อไทย
ประเทศไทยเป็นตลาดที่มีการใช้งาน mobile banking สูงมาก โดยแอปธนาคารของไทยหลายแอปอาจอยู่ในรายชื่อเป้าหมาย 217 แอปของ Rokarolla เนื่องจากมัลแวร์เล็งเป้าแอปธนาคารทั่วโลก การที่มัลแวร์สามารถดักจับ SMS OTP ได้มีความเสี่ยงสูงเป็นพิเศษสำหรับระบบ mobile banking ไทยที่ยังพึ่งพา SMS OTP เป็นหลัก นอกจากนี้ตลาดคริปโตในไทยที่เติบโตอย่างรวดเร็วทำให้ฟีเจอร์สลับที่อยู่กระเป๋าคริปโตใน clipboard เป็นภัยคุกคามโดยตรงต่อนักลงทุนคริปโตไทย
คำแนะนำ
ผู้ใช้ Android ควรติดตั้งแอปจาก Google Play เท่านั้น ไม่ดาวน์โหลดจากเว็บไซต์ภายนอก เปิด Google Play Protect ไว้เสมอ และปฏิเสธคำขอสิทธิ์ Accessibility จากแอปที่ไม่รู้จักทันที เนื่องจากสิทธิ์นี้เป็นตัวขับเคลื่อน chain การโจมตีทั้งหมด สำหรับการโอนคริปโต ควรตรวจสอบที่อยู่กระเป๋าปลายทางอย่างละเอียดทุกครั้งหลังวาง (paste) เพราะ clipboard อาจถูกเขียนทับ ธนาคารและผู้ให้บริการทางการเงินควรพิจารณาเปลี่ยนจาก SMS OTP ไปใช้วิธียืนยันตัวตนที่ปลอดภัยกว่า เช่น app-based authenticator หรือ biometric
