นับวันยิ่งอยู่ยากขึ้น
.
นักวิเคราะห์ภัยคุกคามของบริษัทรักษาความปลอดภัยมือถือ Cleafy ได้ติดตามวิวัฒนาการของมัลแวร์ SOVA นับตั้งแต่มันถูกสร้างในเดือนกันยายน 2564 จนตอนนี้มันถูกพัฒนาพัฒนาไปไกลและมีตัวเลขการใช้งานที่เพิ่มมากขึ้นในปี 2565
.
SOVA เป็นโทรจันที่มุ่งโจมตีแอปธนาคารต่าง ๆ บนระบบ Android โดยในรุ่นเวอร์ชั่น 5.0 ได้มีการปรับปรุงโค้ดและเพิ่มคุณสมบัติให้ใช้งาน Ransomware บนอุปกรณ์ Smartphone ของผู้ใช้ทั่วไปได้แล้วครับ
.
SOVA รุ่นล่าสุด มีการระบุว่า สามารถโจมตีแอปธนาคารเป้าหมายได้มากกว่า 200 แห่ง รวมทั้งแอปแลกเปลี่ยนสกุลเงินดิจิทัล และแอปพลิเคชันกระเป๋าเงินดิจิทัลที่ตกเป็นเป้าหมายด้วยเช่นกัน
.
ในเดือนมีนาคม พ.ศ.2565 ทีมพัฒนาแรนซัมแวร์ของ SOVA ได้เปิดตัวมัลแวร์ในเวอร์ชั่น 3 โดยเพิ่มการระบบบล็อค 2FA เพิ่มการขโมยคุกกี้ และความสามารถในการแทรกเป็นภาพซ้อนทับบนหน้าจอมือถือ เปรียบเสมือนว่าผู้ใช้สามารถล๊อกอินได้สำเร็จจากลิงค์ปลอมที่แฮกเกอร์ส่งให้ เพื่อให้ที่แฮกเกอร์จะสามารถขโมยข้อมูลรับรองการเข้าสู่ระบบของแอปธนาคารได้ครับ
.
ในเดือนกรกฎาคม พ.ศ. 2565 ทีมพัฒนาของ SOVA ยังได้เปิดตัวเวอร์ชัน 4 ซึ่งใช้โจมตีแอปเป้าหมายได้ถึง 200 รายการ และเพิ่มความสามารถ VNC (virtual network computing) เพื่อเพิ่มความสามารถในการโจมตีได้มากขึ้น
.
และในเวอร์ชั่น 4 ยังเพิ่มการรองรับคำสั่งต่างๆ เช่น การจับภาพหน้าจอ การคลิกและการปัดหน้า การคัดลอกและวางไฟล์ การแสดงหน้าจอซ้อนทับได้ตามต้องการ และยังยังมีการปรับโครงสร้างโค้ดที่สำคัญใหม่เพื่อใช้ในการคุกกี้ ซึ่งขณะนี้กำหนดเป้าหมายไปยัง Gmail , GPay และ Google Password Manager
.
ทั้งนี้ในเวอร์ชั่นที่บอกว่าได้มีการเพิ่มโมดูลของแรนซัมแวร์เข้ามา ต้องยอมรับว่าเรื่องนี้น่าสนใจ เพราะโดยทั่วไปแล้วแรนซัมแวร์มักจะถูกใช้โจมตีองค์กรหรือหน่วยขนาดใหญ่เพื่อใช้เรียกค่าไถ่ แต่นี่เอามาใช้กับผู้ใช้ Smartphone ด้วย เป็นไปได้ว่าในปัจจุบัน Smartphone กำลังกลายเป็นอุปกรณ์กลางที่เก็บไฟล์สำคัญต่าง ๆ ของผู้ใช้งานมากขึ้นครับ ดังนั้นหากเรียกค่าไถ่ด้วยจำนวนเงินที่ไม่มากนัก ก็อาจมีโอกาสที่พวกเขาจะจ่ายกลับมา และต้องยอมรับว่าอนาคตอาจมีแรนซัมแวร์บน Smartphone เกิดขึ้นอีกมาก หาก SOVA บุกเบิกแล้วประสบผลสำเร็จ
.
Cleafy บอกว่า SOVA v5 อาจจะกำลังอยู่ในช่วงพัฒนา เพราะยังไม่ได้มีการเผยแพร่อย่างเป็นทางการ แต่แม้จะอยู่ในรูปแบบที่พัฒนาไม่เสร็จ SOVA v5 ก็เหมือนพร้อมใช้งานบางส่วนแล้ว ดังนั้นผู้ใช้ Android ทุกคนจึงควรระมัดระวัง
.
ตามที่ผมเข้าใจ SOVA น่าจะให้บริการเป็นรูปแบบ Malware as a service ที่ให้แฮกเกอร์หน้าใหม่สามารถโหลดมาใช้งานเพื่อโจมตีเป้าหมาย โดยจะเสียค่าบริการแล้วแต่กำหนดครับ มันจึงมีการพัฒนาเวอร์ชั่นใหม่ออกมาเรื่อย ๆ เบื้องต้น ผู้ใช้ Android ควรระวัง โดยการไม่กดลิงค์แปลก ๆ ที่ส่งมาทางข้อความ ไม่ติดตั้งแอปต่าง ๆ จาก APK และพยายามใช้เแอปจาก PlayStore เท่านั้น และควรเอะใจ หากแอปธนาคารที่ใช้อยู่ดันขอให้ใส่ข้อมูลส่วนตัวใหม่ทั้งหมดครับ
.
ที่มาข้อมูล
https://www.bleepingcomputer.com/news/security/sova-malware-adds-ransomware-feature-to-encrypt-android-devices/?fbclid=IwAR0IzljeaOSyskYIFnmRJ5AUrEkA9Y4hlNWDI531GMCqBnv2a4PLqw_QjZY
Facebook Comments
ที่มา : techhub / วันที่เผยแพร่ 16 ส.ค.65
Link : https://www.techhub.in.th/sova-malware-focus-on-android-user/