434/68 (IT) ประจำวันพฤหัสบดีที่ 30 ตุลาคม 2568
นักวิจัยจาก ThreatFabric เปิดเผยรายละเอียดของโทรจันธนาคารบน Android ชื่อ Herodotus ซึ่งถูกใช้ในแคมเปญที่มุ่งเป้าไปยังผู้ใช้ในอิตาลีและบราซิล ตัวมัลแวร์ถูกโปรโมตในตลาดมืดตั้งแต่ 7 กันยายน 2025 ภายใต้โมเดล Malware-as-a-Service (MaaS) และรองรับอุปกรณ์ Android เวอร์ชัน 9–16 ผู้พัฒนานำเทคนิคบางส่วนจากโทรจันรุ่นก่อนอย่าง Brokewell มาปรับใช้ ทั้งในด้านเทคนิคการปกปิดโค้ด (Obfuscation) และโครงสร้างโค้ดบางส่วนที่คล้ายกัน แต่เพิ่มความสามารถใหม่เพื่อมุ่งเน้นการโจมตีแบบ Device Takeover (DTO) มากกว่าการขโมยข้อมูลรับรองเข้าสู่ระบบเพียงอย่างเดียว
Herodotus ถูกเผยแพร่ผ่านแอปปลอมที่แอบอ้างเป็น Google Chrome (แพ็กเกจ “com.cd3.app”) โดยส่งลิงก์ติดตั้งผ่าน SMS phishing หรือการหลอกลวงทางสังคม (Social Engineering) มัลแวร์อาศัยสิทธิ์การเข้าถึงฟีเจอร์ Accessibility API เพื่อควบคุมหน้าจอ เช่น การแสดงหน้าจอซ้อนทับ (Overlay) ปลอมหน้าเข้าสู่ระบบของแอปธนาคาร และขโมยข้อมูลยืนยันตัวตน แบบสองปัจจัย (2FA) ยกระดับสิทธิ์ผู้ใช้ เก็บรหัส PIN หรือแพทเทิร์นล็อกหน้าจอ และติดตั้งไฟล์ APK จากระยะไกล รวมถึงบันทึกภาพหน้าจอและภาพเว็บแคมของเหยื่อ
จุดเด่นของ Herodotus คือความสามารถในการ “จำลองพฤติกรรมมนุษย์” โดยเพิ่มความหน่วงแบบสุ่มระหว่าง 300–3,000 มิลลิวินาทีระหว่างการพิมพ์ข้อความ เพื่อหลบเลี่ยงระบบตรวจจับที่อาศัยความเร็วในการพิมพ์เป็นตัวบ่งชี้การทำงานของบอท นักวิจัยระบุว่า Herodotus อยู่ระหว่างการพัฒนาอย่างต่อเนื่อง และเริ่มขยายเป้าหมายไปยังสถาบันการเงินในสหรัฐอเมริกา สหราชอาณาจักร ตุรกี โปแลนด์ รวมถึงกระเป๋าคริปโทและแพลตฟอร์มแลกเปลี่ยนคริปโทเคอร์เรนซีด้วย
แหล่งข่าว https://thehackernews.com/2025/10/new-android-trojan-herodotus-outsmarts.html
