คำเตือน: มัลแวร์ Sturnus กำลังอ่านข้อความและขโมยข้อมูลธนาคารบนอุปกรณ์ Android

DNVN - จากคำเตือนของบริษัทด้านความปลอดภัยทางไซเบอร์ ThreatFabric ซอฟต์แวร์ Sturnus สามารถแอบอ่านข้อความและขโมยข้อมูลธนาคารได้โดยที่ผู้ใช้ Android ไม่รู้ตัว

Tạp chí Doanh Nghiệp•28/11/2025

Mã độc Sturnus có khả năng đọc các tin nhắn mã hóa trong Whatsapp, Signal và Telengram. Ảnh: CyberInsider.

มัลแวร์ Sturnus สามารถอ่านข้อความที่เข้ารหัสไว้ใน WhatsApp, Signal และ Telegram ได้ ภาพ: CyberInsider

Sturnus ถูกอธิบายว่าเป็นภัยคุกคามที่ซับซ้อนและครอบคลุม โดยได้รวมเอาคุณสมบัติขั้นสูงที่มักพบในมัลแวร์ Android ระดับสูงไว้ด้วย

จากรายงานของ ThreatFabric พบว่า Sturnus ถูกใช้ในการโจมตีแบบเจาะจงเป้าหมาย โดยส่วนใหญ่มุ่งเป้าไปที่ผู้ใช้ในยุโรปใต้และยุโรปกลาง นักวิจัยเชื่อว่ามัลแวร์นี้ยังอยู่ในช่วงเริ่มต้นของการพัฒนา อาจถูกนำไปใช้ทดสอบเป็นครั้งคราวมากกว่าที่จะใช้ในแคมเปญขนาดใหญ่ อย่างไรก็ตาม โครงสร้างที่ "ปรับขนาดได้" ของมันทำให้มันเป็นภัยคุกคามที่อันตรายและจำเป็นต้องได้รับการป้องกัน

โหมดการส่งสัญญาณ

กระบวนการติดเชื้อเริ่มต้นเมื่อผู้ใช้ดาวน์โหลดไฟล์ APK ของ Android ที่เป็นอันตราย (แอปพลิเคชันที่ดาวน์โหลดจากเว็บไซต์ที่ไม่เป็นทางการ นอกเหนือจาก Google Play Store) ไฟล์ APK เหล่านี้มักปลอมแปลงเป็นแอปพลิเคชันที่ถูกต้องตามกฎหมาย เช่น Google Chrome หรือ Premix Box และผู้ใช้จะติดตั้งแอปพลิเคชันของบุคคลที่สามเหล่านี้โดยไม่รู้ตัว ซึ่งมีไวรัส Sturnus อยู่ภายใน

หลังจากติดตั้งแล้ว Sturnus จะสร้างช่องทาง HTTPS ที่เข้ารหัสเพื่อส่งคำสั่งและข้อมูลที่รั่วไหล

เมื่อผู้ใช้เปิดแอปพลิเคชันส่งข้อความที่ปลอดภัย มัลแวร์จะตรวจจับแอปและเริ่มกระบวนการประมวลผลข้อมูลบน UI-tree ระบบนี้ทำให้ Sturnus สามารถอ่านข้อมูลทั้งหมดที่แสดงบนหน้าจอแบบเรียลไทม์ รวมถึงชื่อผู้ส่ง เนื้อหาข้อความ และเวลา เนื่องจากกระบวนการตรวจสอบนี้เกิดขึ้นในเครื่อง จึงทำให้การป้องกันที่ได้รับจากโปรโตคอลต่างๆ เช่น Signal Protocol ถูกปิดใช้งาน เหตุการณ์นี้เกิดขึ้นโดยไม่มีการแจ้งเตือนใดๆ แก่ผู้ใช้ และอินเทอร์เฟซของแอปยังคงทำงานตามปกติ นี่คือคุณลักษณะที่น่าตกใจที่สุด

นอกจากนี้ Sturnus ยังได้รับสิทธิ์ผู้ดูแลระบบบนอุปกรณ์ Android ทำให้สามารถตรวจสอบการเปลี่ยนแปลงรหัสผ่านและการพยายามปลดล็อก รวมถึงล็อกอุปกรณ์จากระยะไกลได้ มัลแวร์นี้ยังถูกออกแบบมาเพื่อป้องกันไม่ให้ผู้ใช้เพิกถอนสิทธิ์หรือถอนการติดตั้งซอฟต์แวร์จากอุปกรณ์อีกด้วย

การขโมยข้อมูลธนาคารด้วยวิธีการที่ซับซ้อน

มัลแวร์ Sturnus สามารถขโมยข้อมูลการเข้าสู่ระบบบัญชีธนาคารผ่านหน้าจอเข้าสู่ระบบปลอม โดยใช้ HTML overlays ที่เลียนแบบแอปพลิเคชันธนาคารที่ถูกต้อง overlays เหล่านี้จะถูกจัดเก็บไว้ในเครื่องและได้รับการออกแบบมาเป็นพิเศษสำหรับสถาบันการเงินเฉพาะแห่ง

มัลแวร์นี้มอบความสามารถในการควบคุมระยะไกลแบบเรียลไทม์อย่างครอบคลุมให้แก่ผู้โจมตี การควบคุมจากระยะไกลนี้ช่วยให้ผู้โจมตีสามารถตรวจสอบกิจกรรมของผู้ใช้ทั้งหมด แทรกข้อความโดยไม่ต้องมีการสัมผัสทางกายภาพ และดำเนินการธุรกรรมฉ้อโกง รวมถึงการโอนเงินจากแอปพลิเคชันธนาคาร การยืนยันกล่องโต้ตอบ การอนุมัติหน้าจอการตรวจสอบสิทธิ์แบบหลายปัจจัย การเปลี่ยนแปลงการตั้งค่า หรือการติดตั้งแอปพลิเคชันใหม่

ในขณะที่ก่อเหตุร้ายเหล่านี้ Sturnus จะทำงานโดยปกปิดตัวตนอย่างมิดชิด มันสามารถปิดบังหน้าจออุปกรณ์ (โดยการเปิดใช้งานโอเวอร์เลย์สีดำ) เพื่อซ่อนกิจกรรมที่เกิดขึ้นในเบื้องหลังโดยที่เหยื่อไม่รู้ตัว

คำแนะนำสำหรับการป้องกัน

เพื่อป้องกันตัวเองจากมัลแวร์ Sturnus ผู้ใช้ Android ควรปฏิบัติตามข้อควรระวังดังต่อไปนี้:

หลีกเลี่ยงการดาวน์โหลดไฟล์ APK จากแหล่งภายนอก Google Play หรือจากผู้พัฒนาแอปที่ไม่รู้จัก

ควรเปิดใช้งาน Play Protect ไว้เสมอ เพื่อสแกนและกำจัดภัยคุกคาม

หลีกเลี่ยงการให้สิทธิ์การเข้าถึงหากไม่จำเป็นอย่างยิ่ง และตรวจสอบแอปที่ติดตั้งไว้ว่ามีสิทธิ์การเข้าถึงบริการหรือไม่

- วิดีโอ ที่คุณอาจสนใจ: คำเตือนเกี่ยวกับมัลแวร์ที่ขโมยข้อมูลจากรูปภาพบน Android และ iPhone แหล่งที่มา: VTV24