มัลแวร์ Android banking และ Remote Access Trojan (RAT) ตัวใหม่ชื่อ Klopatra ซึ่งปลอมตัวเป็นแอป IPTV และ VPN ได้ติดเชื้อในอุปกรณ์กว่า 3,000 เครื่องทั่วทวีปยุโรป
นักวิจัยจากบริษัทความปลอดภัยไซเบอร์ Cleafy ระบุว่า Klopatra มีความสามารถขั้นสูง เช่น
🔸เฝ้าดูหน้าจอแบบเรียลไทม์
🔸จับข้อมูลการพิมพ์ (keystroke)
🔸จำลองการสัมผัสหน้าจอหรือ gesture
🔸และที่อันตรายที่สุดคือ โหมด Virtual Network Computing (VNC) แบบซ่อนตัว
มัลแวร์นี้ไม่ได้มีความเกี่ยวข้องกับตระกูลมัลแวร์ Android ที่รู้จักมาก่อน คาดว่าเป็นผลงานของกลุ่มอาชญากรไซเบอร์ที่พูดภาษาตุรกี
💸 เป้าหมายของ Klopatra
🔸ขโมยข้อมูลล็อกอินธนาคารผ่านการโจมตีแบบ overlay attack
🔸ดึงข้อมูลจาก clipboard และ keystrokes
🔸เข้าถึงกระเป๋าเงินดิจิทัล (crypto wallet)
🔸ใช้โหมด VNC เพื่อ ควบคุมอุปกรณ์และถอนเงินจากบัญชีธนาคารได้โดยตรง
🧠 กลไกการทำงานและเทคนิคหลบเลี่ยงการตรวจจับ
มัลแวร์นี้แพร่กระจายผ่านแอป “Modpro IP TV + VPN” ซึ่งถูกเผยแพร่นอก Google Play Store
แอปดังกล่าวมีลักษณะเป็น “dropper” — คือใช้ติดตั้งมัลแวร์หลักภายหลัง
Klopatra ใช้เทคนิคขั้นสูงหลายอย่างเพื่อป้องกันการวิเคราะห์และตรวจจับ:
🔸ใช้ Virbox ซึ่งเป็นระบบป้องกันโค้ดระดับเชิงพาณิชย์
🔸ใช้ไลบรารี native (ลดร่องรอยของโค้ด Java/Kotlin)
🔸เข้ารหัส string ด้วย NP Manager ในเวอร์ชันหลังๆ
ฟีเจอร์ที่โดดเด่นคือ “Black-Screen VNC Mode” ซึ่งทำให้แฮ็กเกอร์สามารถควบคุมอุปกรณ์ได้ขณะหน้าจอดับหรือถูกล็อก เหมือนเครื่องไม่ได้ทำงานอะไร แต่จริงๆ แล้วมีการสั่งการอยู่เบื้องหลัง
โหมดนี้สามารถ:
🔸แตะและปัดหน้าจอได้ตามพิกัดที่กำหนด
🔸เลื่อนขึ้นลง
🔸แตะค้าง (long-press)
ซึ่งเพียงพอสำหรับทำธุรกรรมทางธนาคารด้วยตนเอง
มัลแวร์จะเปิดโหมดนี้เฉพาะตอนที่เครื่องกำลังชาร์จหรือหน้าจอดับ เพื่อไม่ให้เหยื่อสังเกตเห็นการทำงานผิดปกติ
นอกจากนี้ยังมีรายชื่อแอปแอนติไวรัสยอดนิยมแบบ hardcoded เพื่อพยายามถอนการติดตั้งโดยอัตโนมัติ
🌍 ผู้พัฒนาและการแพร่กระจาย
หลักฐานทางภาษาและบันทึกการพัฒนาแสดงให้เห็นว่ากลุ่มผู้พัฒนาเป็นชาวตุรกี
นักวิจัยพบ Command & Control (C2) หลายจุดที่เชื่อมโยงกับสองแคมเปญหลัก รวมแล้วกว่า 3,000 เครื่องติดเชื้อ
แม้แฮ็กเกอร์ใช้ Cloudflare ปกปิดร่องรอย แต่การตั้งค่าผิดพลาดเผยให้เห็น IP ต้นทางของเซิร์ฟเวอร์
ตั้งแต่เดือนมีนาคม 2025 ที่ Klopatra ปรากฏในวงการ มีการอัปเดต กว่า 40 เวอร์ชัน ซึ่งสะท้อนถึงการพัฒนาอย่างต่อเนื่องและรวดเร็ว
🛡️ คำแนะนำสำหรับผู้ใช้ Android
🔸หลีกเลี่ยงการติดตั้งไฟล์ APK จากแหล่งที่ไม่น่าเชื่อถือ
🔸อย่าอนุญาตสิทธิ์ Accessibility Service ให้กับแอปที่ไม่รู้จัก
🔸เปิดใช้งาน Google Play Protect ไว้ตลอดเวลา
🔸ตรวจสอบสิทธิ์ของแอป VPN / IPTV / Finance ก่อนติดตั้ง
ที่มา: https://www.bleepingcomputer.com/news/security/android-malware-uses-vnc-to-give-attackers-hands-on-access/
