142/69 (IT) ประจำวันพฤหัสดีที่ 12 มีนาคม 2569
นักวิจัยด้านความปลอดภัยจาก Kaspersky ตรวจพบมัลแวร์บนระบบปฏิบัติการ Android ตัวใหม่ในชื่อ “BeatBanker” ซึ่งแพร่ระบาดผ่านเว็บไซต์ที่ปลอมแปลงหน้าตาให้เหมือนกับ Google Play Store อย่างแนบเนียนเพื่อหลอกให้ผู้ใช้ติดตั้งแอปพลิเคชัน Starlink ปลอม มัลแวร์นี้มีความอันตรายแบบ “ทูอินวัน” โดยทำหน้าที่เป็นทั้งโทรจันสายธนาคาร (Banking Trojan) เพื่อดักขโมยรหัสผ่านและเข้าแทรกแซงธุรกรรมคริปโตเคอร์เรนซี พร้อมทั้งแอบติดตั้งซอฟต์แวร์ขุดเหรียญ Monero (XMR) ลงในเครื่องโดยไม่ได้รับอนุญาต นอกจากนี้ในเวอร์ชันล่าสุดยังมีการยกระดับไปใช้ BTMOB RAT ซึ่งช่วยให้แฮกเกอร์สามารถควบคุมเครื่องของเหยื่อได้จากระยะไกลอย่างสมบูรณ์ ตั้งแต่การบันทึกหน้าจอ ดักฟังผ่านไมโครโฟน ไปจนถึงการเข้าถึงกล้องและตำแหน่ง GPS
สิ่งที่ทำให้ BeatBanker มีความโดดเด่นคือเทคนิคการพรางตัวที่ซับซ้อนเพื่อให้สามารถทำงานในเครื่องเหยื่อได้นานที่สุด โดยมัลแวร์จะเล่นไฟล์เสียง MP3 ความยาว 5 วินาทีที่เกือบจะไม่ได้ยินวนซ้ำไปเรื่อย ๆ เพื่อหลอกให้ระบบ Android เข้าใจว่าแอปพลิเคชันยังมีความจำเป็นต้องทำงานในเบื้องหลังและไม่สั่งปิดกระบวนการ (Persistence) ขณะเดียวกัน ในส่วนของการขุดเหรียญคริปโต มัลแวร์จะคอยส่งข้อมูลสถานะแบตเตอรี่และอุณหภูมิเครื่องกลับไปยังเซิร์ฟเวอร์ควบคุม (C2) หากพบว่าเจ้าของเครื่องกำลังใช้งานอยู่หรือเครื่องมีอุณหภูมิสูงเกินไป มัลแวร์จะหยุดการขุดทันทีเพื่อไม่ให้เครื่องอืดหรือร้อนผิดปกติจนผู้ใช้สงสัย
แม้ปัจจุบันจะพบการระบาดหลักในประเทศบราซิล แต่ผู้เชี่ยวชาญเตือนว่ามัลแวร์ลักษณะนี้สามารถขยายตัวไปยังภูมิภาคอื่นรวมถึงประเทศไทยได้ทุกเมื่อหากแฮกเกอร์เห็นช่องทางที่มีประสิทธิภาพ แนวทางการป้องกันที่ดีที่สุดสำหรับผู้ใช้ Android คือการหลีกเลี่ยงการติดตั้งแอปพลิเคชันผ่านไฟล์ APK จากแหล่งภายนอกที่ไม่น่าเชื่อถือ ตรวจสอบสิทธิ์การเข้าถึง (Permissions) ที่แอปขอว่าสอดคล้องกับหน้าที่จริงหรือไม่ และควรเปิดใช้งาน Google Play Protect เพื่อสแกนหาภัยคุกคามอย่างสม่ำเสมอ ซึ่งเป็นด่านปราการสำคัญในการป้องกันความเสียหายต่อข้อมูลส่วนบุคคลและทรัพย์สินทางดิจิทัล