“Albiriox” มัลแวร์เช่าใช้ ที่วงการธนาคารต้องจับตามอง

มีการค้นพบมัลแวร์สายพันธุ์ใหม่บนแอนดรอยด์ที่มีชื่อว่า “Albiriox” ซึ่งไม่ได้มาเล่นๆ แต่มาในรูปแบบโมเดลธุรกิจ Malware-as-a-Service (MaaS) หรือบริการเช่าใช้มัลแวร์ที่เปิดโอกาสให้อาชญากรไซเบอร์หน้าใหม่สามารถเช่าเครื่องมือไปโจมตีเหยื่อได้ง่ายๆ โดยเป้าหมายหลักคือแอปพลิเคชันทางการเงินกว่า 400 รายการ ไม่ว่าจะเป็นธนาคาร, กระเป๋าเงินคริปโทฯ หรือแอปฯ เทรดหุ้น

Albiriox คืออะไร? ทำไมถึงน่ากลัว?

จากการวิเคราะห์ของทีมนักวิจัยจาก Cleafy ระบุว่า Albiriox ถูกออกแบบมาเพื่อทำ On-Device Fraud (ODF) หรือการโกงธุรกรรมบนเครื่องของเหยื่อโดยตรง ซึ่งมีความร้ายกาจในระดับ “Full Spectrum” คือทำได้ครบวงจรตั้งแต่ต้นจนจบ

ความสามารถที่น่ากังวลที่สุดของมันคือการเจาะระบบป้องกันที่แอปฯ ธนาคารส่วนใหญ่มั่นใจ นั่นคือ “FLAG_SECURE” ปกติแล้วระบบนี้จะป้องกันไม่ให้แคปหน้าจอหรืออัดวิดีโอขณะเปิดแอปฯ ธนาคาร แต่ Albiriox ใช้ช่องโหว่ของ Accessibility Services (บริการช่วยเหลือผู้พิการ) เพื่อสตรีมหน้าจอของเหยื่อกลับไปยังแฮกเกอร์ได้แบบเรียลไทม์ ทำให้แฮกเกอร์มองเห็นทุกอย่าง ทั้งยอดเงิน รหัสผ่าน และการกดปุ่มต่างๆ โดยที่ระบบความปลอดภัยของ Android ตรวจจับไม่ได้

กลลวงและการแพร่กระจาย

รูปแบบการโจมตีของ Albiriox นั้นแนบเนียนและแยบยล:

1. การหลอกลวง Social Engineering: แฮกเกอร์จะส่ง SMS หรือข้อความหลอกลวง โดยแอบอ้างเป็นแอปฯ ที่น่าเชื่อถือ ในแคมเปญล่าสุดพบการปลอมแปลงเป็นแอปฯ ส่วนลดร้านค้าชื่อดังในออสเตรียอย่าง “PENNY Angebote & Coupons”
2. หน้าเว็บปลอม: เมื่อเหยื่อคลิกลิงก์ จะถูกพาไปยังหน้าเว็บไซต์ที่เลียนแบบ Google Play Store ได้เหมือนของจริงมาก เพื่อหลอกให้กดติดตั้งแอปฯ อันตราย (Dropper)
3. ขโมยสิทธิ์: เมื่อติดตั้งแล้ว แอปฯ จะหลอกขอสิทธิ์ Accessibility โดยอ้างว่าเป็น “Software Update” เมื่อเหยื่อหลงเชื่อกดยินยอม มัลแวร์ตัวจริงก็จะถูกฝังลงเครื่องทันที

เทคนิคขั้นสูง: ควบคุมเครื่องระยะไกล (VNC)

สิ่งที่ทำให้ Albiriox เหนือกว่ามัลแวร์ทั่วไปคือระบบ VNC (Virtual Network Computing) ที่ช่วยให้แฮกเกอร์สามารถ “รีโมท” เข้ามาควบคุมมือถือของเหยื่อได้สมบูรณ์แบบ:

• กดทำธุรกรรมโอนเงินได้เองเสมือนเจ้าของเครื่องทำ
• ซ่อนหน้าจอเป็นสีดำ (Black Screen) หรือแสดงหน้าจออัปเดตปลอมๆ เพื่อบังตาในขณะที่แฮกเกอร์กำลังโอนเงินอยู่เบื้องหลัง
• ปรับลด-เพิ่มเสียง เพื่อไม่ให้เหยื่อรู้ตัว
• ขโมยรหัส OTP หรือข้อมูลสำคัญอื่นๆ

ใครอยู่เบื้องหลัง?

หลักฐานจากการสืบสวน ทั้งรูปแบบภาษาที่ใช้ในโค้ดและพฤติกรรมบนเว็บบอร์ดใต้ดิน ชี้ชัดว่าผู้อยู่เบื้องหลังน่าจะเป็นกลุ่มแฮกเกอร์ที่ใช้ ภาษารัสเซีย โดยเริ่มเปิดรับสมัครสมาชิกวงในตั้งแต่เดือนกันยายน 2025 ก่อนจะเปิดขายในรูปแบบบริการ MaaS อย่างเต็มตัวในเดือนตุลาคมที่ผ่านมา

ที่มา