มัลแวร์ Android ตัวใหม่ Rokarolla มุ่งเป้าขโมยข้อมูลแอปพลิเคชันทางการเงิน

328/69 (IT) ประจำวันพฤหัสบดีที่ 18 มิถุนายน 2569

มีรายงานการค้นพบมัลแวร์บนระบบปฏิบัติการ Android ชนิดใหม่ที่ชื่อว่า Rokarolla ซึ่งถูกพัฒนาขึ้นมาเพื่อพุ่งเป้าโจมตีแอปพลิเคชันทางการเงินและคริปโทเคอร์เรนซีกว่า 217 รายการ มัลแวร์ดังกล่าวแพร่กระจายผ่านเว็บไซต์ปลอมที่แอบอ้างเป็นแหล่งดาวน์โหลดแอป Google Chrome หรือ TikTok เมื่อกระบวนการติดตั้งเสร็จสมบูรณ์ มัลแวร์จะสามารถเข้าควบคุมอุปกรณ์ของผู้ตกเป็นเหยื่อได้ในระดับผู้ดูแลระบบ ส่งผลให้ข้อมูลส่วนบุคคล ข้อมูลการติดต่อ และข้อมูลทางการเงินที่สำคัญมีความเสี่ยงสูงที่จะถูกดักจับและนำไปใช้ในการฉ้อโกงทางไซเบอร์

รูปแบบการโจมตีของ Rokarolla มีความซับซ้อนและใช้เทคนิคการหลอกลวงผู้ใช้งาน เมื่อเริ่มต้นใช้งาน แอปพลิเคชันปลอมจะแสดงหน้าจอเพื่อร้องขอสิทธิ์การเข้าถึงแบบพิเศษ หรือ Accessibility Service โดยอ้างเหตุผลด้านการยืนยันตัวตน ซึ่งพบว่า มัลแวร์ใช้เทคนิคการสร้างหน้าจอแสดงสถานะการติดตั้งปลอมเพื่อปกปิดพฤติกรรมอันตรายที่กำลังทำงานอยู่เบื้องหลัง รวมถึงมีการจำลองหน้าจอใส่รหัสปลดล็อกเพื่อดักเก็บรหัส PIN ของผู้ใช้งานด้วย หลังจากนั้นมัลแวร์จะตรวจสอบแอปพลิเคชันในเครื่องและส่งข้อมูลไปยังเซิร์ฟเวอร์ควบคุม หากตรงกับเป้าหมาย ระบบจะส่งรหัสหน้าต่างล็อกอินปลอม (Phishing Overlay) กลับมาแสดงทับหน้าแอปพลิเคชันธนาคารจริงทันทีที่ผู้ใช้เปิดใช้งาน นอกจากนี้ มัลแวร์ยังรองรับชุดคำสั่งควบคุมถึง 137 คำสั่ง ซึ่งครอบคลุมตั้งแต่การดักจับการพิมพ์หน้าจอ การคัดลอกข้อมูลคลิปบอร์ด การปิดกั้นข้อความแจ้งเตือนจากธนาคาร ไปจนถึงการปิดการทำงานของระบบรักษาความปลอดภัย Google Play Protect เพื่อหลบเลี่ยงการตรวจจับ

จากการตรวจสอบในปัจจุบันยังไม่พบมัลแวร์ Rokarolla บนแพลตฟอร์มแอปสโตร์อย่างเป็นทางการอย่าง Google Play แต่เพื่อเป็นการลดความเสี่ยง ผู้ใช้งานควรหลีกเลี่ยงการดาวน์โหลดและติดตั้งไฟล์แอปพลิเคชัน (APK) จากเว็บไซต์ภายนอกหรือแหล่งที่มาที่ไม่สามารถยืนยันตัวตนของผู้พัฒนาได้ ข้อควรระวังที่สำคัญที่สุดคือการพิจารณาอย่างรอบคอบก่อนกดอนุญาตสิทธิ์ Accessibility Service เนื่องจากเป็นสิทธิ์ระดับสูงที่มัลแวร์มักนำไปใช้เพื่อเข้าควบคุมการทำงานของระบบ หากผู้ใช้งานหรือผู้ดูแลระบบพบว่าอุปกรณ์มีพฤติกรรมที่ผิดปกติหรือมีการแสดงหน้าต่างป๊อปอัปที่น่าสงสัย แนะนำให้ตรวจสอบการให้สิทธิ์ของแอปพลิเคชันในตั้งค่า และดำเนินการถอนการติดตั้งแอปพลิเคชันที่ไม่รู้จักหรือมีความเสี่ยงออกโดยทันที

แหล่งข่าว https://www.bleepingcomputer.com/news/security/new-rokarolla-android-malware-targets-217-banking-crypto-apps/