มัลแวร์ Arsink RAT โจมตีอุปกรณ์ Android เพื่อขโมยข้อมูลสำคัญและเปิดการเข้าถึงจากระยะไกล

มัลแวร์ Arsink RAT สำหรับ Android กำลังแพร่กระจายผ่านแอปปลอมแปลงบน Telegram และ MediaFire ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ได้อย่างสมบูรณ์และขโมยข้อมูลผู้ใช้

Severity: วิกฤต

System Impact:

• อุปกรณ์ Android
• Firebase Realtime Database (สำหรับ Command & Control)
• Google Drive (สำหรับการอัปโหลดข้อมูล)
• Telegram (สำหรับ C2 และส่งข้อมูล)

Technical Attack Steps:

1. **การแพร่กระจาย**: มัลแวร์แพร่กระจายผ่านแพลตฟอร์มโซเชียลมีเดีย (เช่น Telegram, Discord) และเว็บไซต์แชร์ไฟล์ (เช่น MediaFire) โดยปลอมแปลงเป็นแอปพลิเคชันยอดนิยม
2. **การปลอมแปลง**: ปลอมเป็นแอปพลิเคชันที่ถูกกฎหมายจากแบรนด์ดัง (เช่น Google, YouTube, WhatsApp, Instagram, Facebook, TikTok) ในรูปแบบของ ‘mod’ หรือ ‘pro’ เพื่อหลอกผู้ใช้ให้ติดตั้ง
3. **การติดตั้งและการขอสิทธิ์**: เมื่อติดตั้งแล้ว มัลแวร์จะร้องขอสิทธิ์มากเกินไปจากผู้ใช้ โดยไม่มอบฟังก์ชันการทำงานจริงใดๆ
4. **การคงอยู่**: ซ่อนไอคอนแอปและเรียกใช้บริการเบื้องหน้าที่ทนทานต่อการยุติ ทำให้สามารถทำงานต่อเนื่องได้
5. **การขโมยข้อมูล**: ขโมยข้อความ SMS (รวมถึงรหัสผ่านแบบครั้งเดียว), บันทึกการโทร, รายชื่อติดต่อ, ตำแหน่งอุปกรณ์ และการบันทึกเสียงผ่านไมโครโฟน
6. **Command & Control (C2)**: ใช้ Firebase Realtime Database endpoints จำนวนมาก (317 จุด) สำหรับการควบคุมจากระยะไกล
7. **วิธีการอัปโหลดข้อมูล**: บางรูปแบบของมัลแวร์อัปโหลดไฟล์ที่ถูกขโมยไปยัง Google Drive โดยใช้ Google Apps Script หรือส่งข้อมูลโดยตรงไปยังบอท Telegram ที่ควบคุมโดยผู้โจมตี
8. **เพย์โหลดสำรอง**: บางรูปแบบซ่อนเพย์โหลดมัลแวร์สำรองไว้ภายในแอปพลิเคชันเริ่มต้น ซึ่งจะถูกแตกและติดตั้งโดยไม่ต้องเชื่อมต่ออินเทอร์เน็ต
9. **การควบคุมระยะไกล**: ผู้โจมตีสามารถสั่งงานจากระยะไกล เช่น เปิด-ปิดไฟฉาย, โทรออก, อัปโหลดไฟล์, หรือแม้แต่ล้างข้อมูลทั้งหมดจากหน่วยเก็บข้อมูลภายนอก

Recommendations:

Short Term:

• หลีกเลี่ยงการดาวน์โหลดแอปพลิเคชันเวอร์ชัน ‘mod’ หรือ ‘pro’ จากแหล่งที่ไม่เป็นทางการ เช่น Telegram, Discord หรือ MediaFire
• ดาวน์โหลดแอปพลิเคชันเฉพาะจากร้านค้าแอปพลิเคชันที่เป็นทางการ (เช่น Google Play Store) เท่านั้น
• ตรวจสอบสิทธิ์ที่แอปพลิเคชันร้องขออย่างละเอียดก่อนที่จะให้สิทธิ์

Long Term:

• อัปเดตระบบปฏิบัติการ Android และแอปพลิเคชันให้เป็นเวอร์ชันล่าสุดเสมอ
• ติดตั้งและใช้งานโซลูชันความปลอดภัยบนมือถือที่มีชื่อเสียง (เช่น แอนตี้ไวรัส หรือ EDR สำหรับมือถือ)
• ให้ความรู้แก่ผู้ใช้เกี่ยวกับกลวิธีวิศวกรรมสังคม (Social Engineering) และอันตรายจากการติดตั้งแอปพลิเคชันจากแหล่งภายนอก (Sideloading)

Source: https://cybersecuritynews.com/arsink-rat-attacking-android-devices/