Herodotus มัลแวร์ Android ตัวใหม่ แกล้งทำเป็นคน หลบระบบจับโจร

มีเรื่องให้ต้องระวังกันอีกแล้วสำหรับผู้ใช้ Android เมื่อนักวิจัยจากบริษัทความปลอดภัยไซเบอร์ ThreatFabric ได้ค้นพบมัลแวร์ธนาคารตัวใหม่แกะกล่องชื่อว่า Herodotus ที่ยกระดับการหลอกลวงไปอีกขั้น ด้วยการเลียนแบบพฤติกรรมของมนุษย์ เพื่อหลบเลี่ยงระบบตรวจจับและเข้าไปควบคุมเครื่องเพื่อทำธุรกรรมขโมยเงินอย่างแนบเนียน

เจ้า Herodotus ตัวนี้ใช้วิธีการแบบมัลแวร์ธนาคารที่เราคุ้นเคยกันดี ไม่ว่าจะเป็นการหลอกให้เปิดสิทธิ์ Accessibility Services, การสร้างหน้าจอปลอม (Overlay Attack) เพื่อดักขโมยรหัสผ่าน, ไปจนถึงการดักจับข้อความ SMS เพื่อขโมยรหัส 2FA แต่ไม้เด็ดของมันที่ทำให้แตกต่างจากตัวอื่น คือความสามารถในการแกล้งทำเป็นคนจริงๆ

ที่น่าสนใจคือ แทนที่จะสั่งการด้วยความเร็วแบบคอมพิวเตอร์ที่จับไต๋ได้ง่าย Herodotus จะค่อยๆ หน่วงเวลาการกดแป้นพิมพ์แต่ละครั้งแบบสุ่มระหว่าง 0.3-3 วินาที แถมยังเลียนแบบการปัดหน้าจอหรือการแตะที่ดูเป็นธรรมชาติ ทำให้ระบบตรวจจับพฤติกรรม (Behavioural Biometrics) ที่คอยดูจังหวะและความเร็วในการพิมพ์อาจโดนหลอกไปเต็มๆ เพราะนึกว่าเป็นคนใช้งานจริงๆ

ตอนนี้พบการแพร่ระบาดของ Herodotus แล้วในอิตาลี โดยปลอมตัวเป็นแอปชื่อ Banca Sicura และในบราซิลในชื่อ Modulo Seguranca Stone เมื่อเหยื่อหลงกลติดตั้งผ่านลิงก์อันตราย (SMiShing) หรือไฟล์ที่โหลดจากนอก Store มันจะขอสิทธิ์ Accessibility แล้วซ่อนตัวเองเบื้องหลัง ขณะที่แฮกเกอร์จะรู้ทันทีเมื่อเราเปิดแอปธนาคารหรือ Wallet เพื่อเริ่มปฏิบัติการขโมยเงิน

เรื่องนี้ถือเป็นสัญญาณเตือนภัยไปยังธนาคารและผู้ให้บริการแอป Wallet ทั้งหลายว่า การพึ่งพาระบบตรวจจับแค่ความเร็วในการพิมพ์อาจไม่เพียงพออีกต่อไป และที่น่ากังวลไปกว่านั้นคือ ตอนนี้ Herodotus กำลังถูกนำไปขายต่อในรูปแบบ Malware-as-a-Service (MaaS) ซึ่งอาจทำให้มันแพร่กระจายในวงกว้างได้ง่ายขึ้น

สำหรับผู้ใช้งานทั่วไป คำแนะนำยังคงเหมือนเดิมคือ หลีกเลี่ยงการติดตั้งแอปจากนอก Play Store, อย่ากดลิงก์น่าสงสัย, เปิดฟีเจอร์ความปลอดภัยของเครื่องไว้เสมอ และหมั่นสแกนหามัลแวร์ด้วย Google Play Protect อยู่เป็นประจำ... งานนี้ต้องบอกว่าโจรไซเบอร์ฉลาดขึ้นทุกวัน ระวังให้ดีก่อนเงินในบัญชีจะหายวับไปแบบไม่รู้ตัว