โทรจันสำหรับ Android ที่เรียกว่า BTMOB ถูกตรวจพบในแคมเปญที่ใช้งานอยู่ในบราซิล ตามการวิเคราะห์โดยละเอียดโดยบริษัทรักษาความปลอดภัย ESET โปรแกรมที่เป็นอันตรายสามารถควบคุมอุปกรณ์ของเหยื่อได้อย่างสมบูรณ์ โดยดำเนินการระยะไกลโดยไม่ได้รับความยินยอม การตรวจจับครั้งแรกเกิดขึ้นในเดือนกุมภาพันธ์ พ.ศ. 2568 และตั้งแต่นั้นมา ไวรัสก็ได้แสดงให้เห็นถึงวิวัฒนาการที่โดดเด่นในแง่ของขอบเขตและความซับซ้อนของการดำเนินการ
BTMOB จัดอยู่ในประเภท RAT ซึ่งเป็นตัวย่อของ “โทรจันการเข้าถึงระยะไกล” โดยอนุญาตให้ผู้โจมตีเข้าถึงและควบคุมโทรศัพท์มือถือที่ติดไวรัสจากระยะไกล โดยที่ผู้ใช้ตรวจไม่พบ ฟังก์ชันการทำงานนี้แสดงถึงภัยคุกคามที่สำคัญ เนื่องจากทำให้อาชญากรมีความสามารถมากมายในการใช้ประโยชน์จากข้อมูลและฟังก์ชันของอุปกรณ์ ความยืดหยุ่นในการควบคุมของ BTMOB ทำให้แตกต่างจากมัลแวร์ทางการเงินจำเพาะจำนวนมาก ซึ่งเพิ่มศักยภาพในการทำลาย
BTMOB Rat แพร่เชื้อไปยังอุปกรณ์อย่างไร
กระบวนการติดไวรัส BTMOB เริ่มต้นด้วยการเผยแพร่ลิงก์ไปยังเว็บไซต์ปลอม ซึ่งมักจะจำลองแพลตฟอร์มสตรีมมิ่งหรือบริการสกุลเงินดิจิทัลที่มีชื่อเสียง เมื่อคลิกที่ที่อยู่เหล่านี้ ผู้ใช้จะถูกเปลี่ยนเส้นทางไปยังร้านแอปปลอมที่ออกแบบมาให้มีลักษณะคล้ายกับ Google Play Store บนเพจหลอกลวงเหล่านี้ เหยื่อจะถูกหลอกให้ติดตั้งแอปพลิเคชันที่เป็นอันตราย ซึ่ง ณ จุดนี้ไวรัสจะถูกส่งไปยังอุปกรณ์ Android
หลังจากการติดตั้งครั้งแรก BTMOB จะร้องขอการเข้าถึงบริการการเข้าถึงของ Android การอนุญาตนี้ซึ่งแต่เดิมพัฒนาขึ้นเพื่อช่วยให้ผู้พิการใช้โทรศัพท์มือถือ และถูกไวรัสนำไปใช้อย่างมุ่งร้าย เมื่อได้รับการเข้าถึงนี้ BTMOB จะสามารถเพิ่มสิทธิ์ในระบบและติดตั้งตัวเองได้ลึกยิ่งขึ้น โดยไม่ต้องมีการแทรกแซงเพิ่มเติมจากผู้ใช้เพื่อดำเนินการต่อไป
การควบคุมระยะไกลและการโจรกรรมข้อมูลหลังการติดเชื้อ
เมื่อติดตั้งและให้สิทธิ์แล้ว BTMOB จะแสดงความสามารถที่เป็นอันตรายมากมายภายในอุปกรณ์ที่ติดไวรัส ไวรัสสามารถดึงข้อมูลที่ละเอียดอ่อน จับภาพหน้าจอแบบเรียลไทม์ และบันทึกกิจกรรมของผู้ใช้ โดยให้ข้อมูลอันมีค่าแก่อาชญากร นอกจากนี้ยังช่วยให้ผู้โจมตีควบคุมโทรศัพท์มือถือจากระยะไกล ดำเนินการคำสั่งและควบคุมฟังก์ชันต่างๆ ราวกับว่าเขาเป็นเจ้าของเอง
การควบคุมระดับนี้หมายความว่าสามารถดูรหัสผ่าน สามารถเข้าถึงแอปพลิเคชันธนาคาร และสามารถส่งข้อความในชื่อของเหยื่อโดยที่พวกเขาไม่รู้ ฟังก์ชั่นการทำงานที่หลากหลายของ BTMOB ทำให้มันเป็นไวรัสที่มีความหลากหลายและอันตรายมากขึ้น เนื่องจากไม่จำกัดเฉพาะการโจรกรรมบางประเภท แต่เป็นการควบคุมอุปกรณ์และข้อมูลทั้งหมดที่มีอยู่ในนั้น
โมเดล “Malware-as-a-Service” ช่วยให้เข้าถึงได้ง่ายขึ้น
BTMOB จำหน่ายภายใต้โมเดล MaaS หรือ “มัลแวร์ในรูปแบบบริการ” ทำให้บุคคลสามารถครอบครองและใช้งานได้โดยไม่ต้องมีความรู้ด้านเทคนิคด้านการเขียนโปรแกรม โมเดลธุรกิจนี้อำนวยความสะดวกในการแพร่กระจายของการหลอกลวง โดยทำให้กลุ่มอาชญากรสามารถเข้าถึงเครื่องมือนี้ได้ในวงกว้างขึ้น แพลตฟอร์มดังกล่าวมีอินเทอร์เฟซสำหรับสร้างแอปพลิเคชันที่เป็นอันตรายใหม่และปรับใช้แคมเปญสำหรับประเทศและกลุ่มเป้าหมายต่างๆ
ใบอนุญาตตลอดชีพสำหรับ BTMOB มีค่าใช้จ่ายประมาณ 5,000 เหรียญสหรัฐ โดยมีค่าธรรมเนียมเพิ่มเติมรายเดือนสำหรับการสนับสนุนด้านเทคนิค ในเดือนมกราคม 2026 มีการเสนอไฟล์ BTMOB ฟรีบนฟอรัมเว็บมืด ก่อนที่บริการจะถูกปิดใช้งาน มัลแวร์ได้รับการส่งเสริมอย่างแข็งขันในช่องทางเปิดบนอินเทอร์เน็ต รวมถึงหน้าส่งเสริมการขายและโปรไฟล์บนโซเชียลเน็ตเวิร์ก เช่น X และ Instagram ซึ่งนำผู้ซื้อที่มีศักยภาพไปยังผู้ให้บริการผ่านทาง Telegram
แคมเปญที่ตรวจพบในละตินอเมริกา
นักวิจัยด้านความปลอดภัยได้บันทึกแคมเปญ BTMOB ในละตินอเมริกาแล้ว โดยมีกรณีสำคัญในอาร์เจนตินา ในเหตุการณ์เหล่านี้ ไวรัสได้รับการดัดแปลงให้ปลอมแปลงเป็นหน่วยงานรัฐบาลอาร์เจนตินา เช่น เจ้าหน้าที่ภาษีและศุลกากร การเลียนแบบเอกลักษณ์ทางภาพของสถาบันเหล่านี้มีจุดมุ่งหมายเพื่อเพิ่มความน่าเชื่อถือของการหลอกลวง โดยหลอกให้ผู้ใช้ท้องถิ่นติดตั้งแอปพลิเคชันที่เป็นอันตราย
ESET ระบุเวอร์ชันหลักของไวรัสเป็น MSIL/BtmobRat ในขณะที่เวอร์ชัน Android จะถูกจัดประเภทเป็น Android/Spy.Agent.EED, Android/Spy.Agent.EIJ และ Android/Spy.Agent.EIK ในเดือนกุมภาพันธ์ 2568 บริษัท Cyble รายงานการค้นพบไวรัสเวอร์ชัน 2.5 ประมาณ 15 ตัวอย่างภายในเวลาเพียงสองสัปดาห์ โดยเน้นถึงกิจกรรมและการแพร่กระจายอย่างรวดเร็วของมัลแวร์
มาตรการป้องกันและป้องกันไวรัส
คำแนะนำหลักในการหลีกเลี่ยงการติดไวรัสโดย BTMOB คือการดาวน์โหลดแอปพลิเคชันผ่านทาง Google Play สโตร์อย่างเป็นทางการเท่านั้น ไซต์ที่ให้บริการ APK นอกแพลตฟอร์มนี้เป็นจุดเริ่มต้นหลักของไวรัสและภัยคุกคามดิจิทัลอื่นๆ ข้อควรระวังในการติดตั้งแอพจากแหล่งที่ไม่รู้จักถือเป็นสิ่งสำคัญสำหรับการรักษาความปลอดภัยของอุปกรณ์
สิ่งสำคัญคือต้องระวังลิงก์ที่ได้รับทางอีเมล แอปส่งข้อความ เช่น WhatsApp โซเชียลมีเดีย หรือโฆษณาออนไลน์ แม้ว่าลิงก์เหล่านั้นจะดูเหมือนมาจากแหล่งที่ถูกต้องก็ตาม การใช้แอปความปลอดภัยบนโทรศัพท์ของคุณอย่างต่อเนื่องสามารถช่วยตรวจจับและต่อต้านภัยคุกคามก่อนที่จะก่อให้เกิดอันตราย บริษัทและองค์กรต่างๆ ต้องใช้และเสริมสร้างนโยบายความปลอดภัยทางไซเบอร์ โดยให้ความรู้แก่พนักงานเกี่ยวกับข้อควรระวังที่จำเป็น เนื่องจากการดาวน์โหลดที่เป็นอันตรายเพียงครั้งเดียวอาจทำให้ข้อมูลสำคัญขององค์กรเสียหายได้
- ดาวน์โหลดแอปจาก Google Play อย่างเป็นทางการเท่านั้น
- ระวังลิงก์และไฟล์แนบที่น่าสงสัยทางอีเมล WhatsApp หรือโซเชียลมีเดีย
- เก็บแอปความปลอดภัยที่อัปเดตไว้บนโทรศัพท์มือถือของคุณ
- ตรวจสอบการอนุญาตที่แอพใหม่ร้องขอก่อนอนุญาต
- แนะนำพนักงานเกี่ยวกับแนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดีที่สุดเพื่อปกป้องข้อมูลองค์กร
การตระหนักถึงความเสี่ยงและการนำมาตรการป้องกันมาใช้เป็นสิ่งสำคัญในการปกป้องข้อมูลส่วนบุคคลและข้อมูลทางวิชาชีพจากภัยคุกคาม เช่น BTMOB Rat การเฝ้าระวังและการอัปเดตซอฟต์แวร์รักษาความปลอดภัยอย่างต่อเนื่องเป็นแนวป้องกันที่มีประสิทธิภาพสูงสุดต่อการโจมตีที่ซับซ้อนเหล่านี้