462/68 (IT) ประจำวันพฤหัสบดีที่ 13 พฤศจิกายน 2568
นักวิจัยด้านความมั่นคงปลอดภัยไซเบอร์จาก Zimperium ได้ออกมาเปิดเผยรายละเอียดของมัลแวร์ตัวใหม่บนระบบ Android ในชื่อ Fantasy Hub ซึ่งเป็น Remote Access Trojan (RAT) ที่กำลังถูกซื้อขายอย่างเปิดเผยในรูปแบบ “มัลแวร์แบบให้บริการ” (Malware-as-a-Service หรือ MaaS) ผ่านช่องทาง Telegram ที่ใช้ภาษารัสเซีย มัลแวร์ตัวนี้ถูกออกแบบมาเพื่อการจารกรรมข้อมูลและควบคุมอุปกรณ์ของเหยื่ออย่างเต็มรูปแบบ โดยสามารถรวบรวมข้อมูลสำคัญ เช่น ข้อความ SMS, รายชื่อติดต่อ, ประวัติการโทร, รูปภาพ และวิดีโอ นอกจากนี้ยังมีความสามารถในการดักจับ ตอบกลับ หรือลบการแจ้งเตือนที่เข้ามา ซึ่งภัยคุกคามนี้มุ่งเป้าไปที่ธุรกรรมทางการเงินโดยตรง โดยใช้การสร้างหน้าต่างปลอม (fake overlays) เพื่อหลอกขโมยรหัสผ่านธนาคาร และสิ่งที่เป็นอันตรายอย่างยิ่งคือการเข้าควบคุมสิทธิ์ SMS เพื่อดักจับรหัสยืนยันตัวตนแบบสองขั้นตอน (2FA)
สิ่งที่ทำให้ Fantasy Hub น่ากังวลอย่างยิ่ง คือการจำหน่ายในรูปแบบบริการครบวงจร ซึ่งช่วยลดอุปสรรคและเปิดทางให้ผู้โจมตีมือใหม่สามารถเข้าถึงเครื่องมือระดับสูงได้ง่าย ผู้ขายมีเอกสารประกอบการใช้งานพร้อมกับวิดีโอสาธิต และใช้บอทในการจัดการการสมัครสมาชิก (ราคาเริ่มต้น 200 ดอลลาร์ต่อสัปดาห์) ระบบบอทนี้ยังอนุญาตให้ลูกค้าอัปโหลดไฟล์ APK เพื่อให้ระบบฝัง payload ที่เป็นอันตราย (trojanized) กลับไปให้ ในการแพร่กระจายมักปลอมตัวเป็น “การอัปเดต Google Play” เพื่อหลอกให้ผู้ใช้งานเชื่อถือ และใช้เทคนิค abuse สิทธิ์ ‘SMS handler’ (แอปจัดการข้อความเริ่มต้น) เพื่อให้ได้มาซึ่งสิทธิ์ในการเข้าถึงข้อมูลสำคัญหลายอย่าง (เช่น SMS, กล้อง, ไฟล์) ภายในการร้องขอเพียงครั้งเดียว
การเกิดขึ้นของ Fantasy Hub สอดคล้องกับรายงานจาก Zscaler ThreatLabz ที่ระบุว่าธุรกรรมมัลแวร์บน Android เพิ่มขึ้นถึง 67% เมื่อเทียบแบบปีต่อปี (มิ.ย. 2024 – พ.ค. 2025) โดยพบแอปอันตรายกว่า 239 รายการบน Google Play Store ซึ่งมียอดดาวน์โหลดรวม 42 ล้านครั้ง นอกจากนี้ยังมีภัยคุกคามอื่นที่น่ากังวล เช่น NGate (NFSkate) ที่มุ่งเป้าผู้ใช้ธนาคารในโปแลนด์ โดย CERT Polska เตือนว่ามัลแวร์นี้ใช้เทคนิค NFC relay attack ที่ซับซ้อน มันจะหลอกให้เหยื่อติดตั้งแอปและทำการ “ยืนยันบัตร” โดยการแตะบัตรเครดิตที่ด้านหลังโทรศัพท์ แต่แท้จริงแล้วแอปจะดักจับข้อมูล NFC ของบัตรและส่งต่อ (relay) ไปยังอุปกรณ์ของผู้โจมตีที่รออยู่ที่ตู้ ATM ทำให้สามารถกดเงินสดออกจากบัญชีของเหยื่อได้ทันทีโดยไม่ต้องมีบัตรจริง
แหล่งข่าว https://thehackernews.com/2025/11/android-trojan-fantasy-hub-malware.html
