ມັນ​ແວ​​ (Malware) Trojan ສຳລັບ​ລັກ​ຂໍ້​ມູນ​ທt​ນາ​ຄານ​ ແລະ ​ຄວບ​ຄຸມ​ອຸປະກອນ​ຈາກ​ໄລ​ຍະ​ໄກ​ (RAT) ໂຕໃໝ່​ເທິງ​ Android ທີ່ມີ​ຊື່ວ່າ​ Klopatra ໄດ້​ປອມ​ຕົວ​ເປັນ​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ IPTV ແລະ​ VPN ເຮັດໃຫ້​ມີ​ອຸປະກອນ​ຕິດ​ມັນ​ແວ​​ແລ້ວ​ຫຼາຍກວ່າ​ 3,000 ເຄື່ອງ​ທົ່ວ​ຢຸ​ໂຣບ​.

Klopatra ຖືກລະ​ບຸ​ວ່າ​ເປັນ​ Trojan ທີ່​ມີປະ​ສິດ​ທິ​ພາບ​ສູງ​ ໂດຍ​ມີ​ຄວາມ​ສາມາດ​ໃນ​ການ​ກວດ​ສອບ​ໜ້າຈໍ​ໄດ້​ແບບ​ Real-time, ດັກ​ຈັບ​ຂໍ້​ມູນ​ທີ່​ຜູ້​ໃຊ້​ປ້ອນ​, ຈຳ​ລອງ​ gesture navigation ແລະ​ ມີ​ໂໝດ​ Virtual Network Computing (VNC) ທີ່​ເຊື່ອງ​ຢູ່​.

ນັກ​ວິໄ​ຈ​ຈາກ​ບໍລິສັດ​ດ້ານ​ຄວາມ​ປອດໄ​ພ​ທາງ​ໄຊ​ເບີ​ Cleafy ລະ​ບຸ​ວ່າ​ Trojan ໂຕໃໝ່​ນີ້​ເບິ່ງ​ຄື​ຈະ​ບໍ່​ມີ​ຄວາມ​ເຊື່ອມ​ໂຍງ​ກັບ​ມັນ​ແວ​ຕະກູນ​ໃດ​ໆ​ ເທິງ​ Android ທີ່​ເຄີຍ​ຖືກ​ພົບເຫັນ​ກ່ອນ​ໜ້າ​ນີ້​ ແລະ​ ຄາດ​ວ່າ​ໜ້າ​ຈະ​ເປັນ​ຜົນ​ງານ​ຂອງ​ກຸ່ມ​ແຮັກ​ເກີ​​ທີ່​ໃຊ້​ພາສາ​ຕວກກີ​.

Klopatra ຖືກ​ພັດທະນາ​ຂຶ້ນ​ມາ​ໂດຍ​ມີ​ເປົ້າ​ໝາຍ ​ເພື່ອ​ລັກ​ຂໍ້​ມູນ​ Banking Credentials ຜ່ານ​ການ​ໂຈມ​ຕີ​ແບບ​ Overlay Attack, ລັກ​ຂໍ້​ມູນ​ໃນ​ຄລິບ​ບອດ (clipboard)​ ແລະ ​ການ​ກົດ​ແປ້ນ​ພິມ​, ລັກ​ເງິນ​ອອກຈາກ​ບັນ​ຊີທະ​ນາ​ຄານ​ຜ່ານ​ VNC ແລະ​ ສັງລວມ​ຂໍ້​ມູນ​ຈາກ​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ Cryptocurrency Wallet.

ໄພ​ຄຸກ​ຄາມ​ທີ່​ມີ​ຄວາມ​ສາມາດ​ໃນ​ການ​ປິດບັງຕົນເອງ​ ແລະ​ ຍາກ​ຕໍ່​ການ​ກວດ​ຈັບ​

ມັນ​ແວ​ດັ່ງ​ກ່າວ​ຈະ​ແຊກ​ຊຶມ​ເຂົ້າ​ສູ່​ອຸປະກອນ​ຂອງ​ເຫຍື່ອ​ຜ່ານ​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ປະ​ເພດ​ Dropper ທີ່​ມີ​ຊື່​ວ່າ​ “Modpro IP TV + VPN” ຊຶ່ງ​ມີ​ການ​ເຜີຍແຜ່​ໃຫ້​ດາວ​​ໂຫຼດ​ຈາກ​ພາຍນອກ​ທີ່​ບໍ່​ແມ່ນ​ການ​ດາວ​​ໂຫຼດ​ໂດຍ​ກົງ​ຈາກ​ Google Play.

ໂດ​ຢ​ Klopatra ມີ​ການ​ໃຊ້​ Virbox ທີ່​ເປັນ​ເຄື່ອງ​ມື​ປ້ອງ​ກັນ​ code ​ລະ​ດັບ​ Commercial-grade ເພື່ອ​ຂັດ​ຂວາງ​ການເຮັດ​ Reverse-engineering ແລະ ​ການ​ວິ​ເຄາະ​ໂຄ້ດ​ ນອກ​ຈາກ​ນີ້​ຍັງມີ​ການ​ໃຊ້​ໄລ​ບ​ຣາ​ຣີ (Library) ​ແບບ​ Native ເພື່ອນ​ຫຼຸດຂະໜາດ​ຂອງ​ code ​ໃນ​ສ່ວນ​ທີ່​ໃຊ້​ພາສາ​ Java/Kotlin ແລະ ​ໃນ​ເວີ​ຊັ່ນ​ລ່າ​ສຸດ​ຍັງ​ໃຊ້​ການ​ເຂົ້າ​ລະ​ຫັດ​ແບບ​ String ຂອງ​ NP Manager ອີກ​ດ້ວຍ​.

Cleafy ລະ​ບຸ​ວ່າ​ ມັນ​ແວ​ໂ​ຕ​ນີ້​ມີກ​ົນ​ໄກ​ປ້ອງ​ກັນ​ການ​ Debugging ຫຼາຍ​ຮູບ​ແບບ​, ມີ​ການ​ກວດ​ສອບ​ຄວາມ​ສົມບູນ​ຂອງ code  ​ຂະນະ​ເຮັດວຽກ​ (Runtime integrity checks) ແລະ ​ມີ​ຄວາມ​ສາມາດ​ໃນ​ການ​ກວດ​ຈັບ​ Emulator ເພື່ອ​ໃຫ້​ແນ່​ໃຈ​ວ່າ​ມັນ​ບໍ່​ໄດ້​ກຳ​ລັງ​ເຮັດວຽກ​ຢູ່ໃນ​ສະພາບ​ແວດ​ລ້ອມ​ທີ່​ໃຊ້​ສຳລັບ​ການ​ວິ​ເຄາະ​.

Klopatra ໃຊ້​ການ​ເຂົ້າ​ເຖິງ​ຈາກ​ Accessibility Service ຂອງ​ Android ເພື່ອ​ມອບ​ສິດ​ການ​ເຂົ້າ​ເຖິງ​ເພີ່ມເຕີມ​ໃຫ້​ກັບ​ຕົນເອງ​, ດັກ​ຈັບ​ຂໍ້​ມູນ​ທີ່​ຜູ້​ໃຊ້​ປ້ອນ​, ຈຳ​ລອງ​ gesture navigation ລວມ​ເຖິງ​ພະຍາຍາມ​ກວດ​ສອບ​ໜ້າຈໍ​ຂອງ​ເຫຍື່ອ​ເພື່ອ​ຫາລະ​ຫັດ​ຜ່ານ​ ແລະ​ ຂໍ້​ມູນ​ທີ່​ສຳຄັນ​ອື່ນ​ໆ​.

ຶ່ງ​ໃນ​ຄຸນສົມບັດສຳຄັນ​ຄື​ "ໂໝດ​ VNC ແບບ​ black-screen" ທີ່​ຊ່ວຍ​ໃຫ້​ຜູ້​ຄວບ​ຄຸມ​ສາມາດ​ສັ່ງ​ການ​ເທິງ​ອຸປະກອນ​ທີ່​ຕິດ​ມັນ​ແວ​​ໄດ້​ ໃນ​ຂະນະ​ທີ່​ເຫຍື່ອ​ຈະ​ເຫັນ​ວ່າ​ໜ້າຈໍ​ຂອງ​ອຸປະກອນ​ລັອກ​ຢູ່​ ແລະ ​ເບິ່ງ​ຄື​ບໍ່​ໄດ້​ໃຊ້​ງານ​.

ໂໝດ​ນີ້​ຮອງ​ຮັບ​ຄຳ​ສັ່ງ​ຈາກ​ໄລຍະ​ໄກ​ທີ່​ຈຳ​ເປັນ​ທັງ​ໝົດ​ສຳລັບ​ການເຮັດ​ທຸລະກຳ​ທາງ​ການ​ເງິນ​ດ້ວຍ​ຕົນເອງ​ ເຊັ່ນ​:  ການ​ຮຽນ​ແບບ​ການ​ແຕະ​ເທິງ​ພິ​ກັດ​ໜ້າຈໍ​ທີ່​ກຳນົດ​ໄວ້​, ການ​ປັດ​ໜ້າຈໍ​ຂຶ້ນ​/ລົງ​ ແລະ ​ການ​ກົດ​ຄ້າງ​.

ມັນ​ແວ​​ຈະ​ກວດ​ສອບ​ສະ​ຖາ​ນະ​ຂອງ​ອຸປະກອນ​ ເຊັ່ນ:​ ກຳ​ລັງ​ສາກ​ແບດ​ເຕີ​ຣີ່​ ຫຼື ​ໜ້າດຈໍດັບ​ຢູ່ ​ຫຼື ​ບໍ່​ ເພື່ອ​ຫາ​ຈັງ​ຫວະ​ທີ່​ເໝາະ​ສົມ​ໃນ​ການ​ເປີດ​ໃຊ້​ງານ​ໂໝດ​ນີ້​ໂດຍ​ບໍ່​ໃຫ້​ເຫຍື່ອ​ຮູ້​ຕົວ.​



ເພື່ອ​ຫຼີກ​ລ້ຽງ​ການ​ຖືກ​ກວດ​ຈັບ​ Klopatra ຍັງມີ​ລາຍ​ຊື່​ "package name" ທີ່​ຖືກ​ຝັງ​ໄວ້​ໃນ​ code ໂດຍ​ກົງ​ ຊຶ່ງ​ເປັນ​ລາຍ​ຊື່​ຂອງ​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ Antivirus ຍອດ​ນິຍົມ​ເທິງ​ Android ແລະ ​ມັນ​ຈະ​ພະຍາຍາມ​ຖອນ​ການ​ຕິດ​ຕັ້ງ​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ເຫຼົ່າ​ນັ້ນ​ຖິ້ມ.

ເບາະ​ແສ​ ຫຼື ​ຮ່ອງ​ຮອຍ​ຂອງ​ຜູ້​ໂຈມ​ຕີ​

ຈາກ​ຮ່ອງ​ຮອຍ​ການ​ໃຊ້​ພາສາ​ ແລະ ​ບັນ​ທຶກ​ທີ່​ກ່ຽວກັບ​ການ​ພັດທະນາ​ ແລະ ​ການສ້າງລ​ໄດ້​ ທີມ​ນັກ​ວິ​ໄຈ​ຂອງ​ Cleafy ເຊື່ອ​ວ່າ​ Klopatra ຖືກ​ຄວບ​ຄຸມ​ ແລະ ​ສັ່ງ​ການ​ໂດຍ​ກຸ່ມ​ຜູ້​ບໍ່​ຫວັງ​ດີ​ທີ່​ໃຊ້​ພາສາ​ຕວກກີ​.

ທີມ​ນັກ​ວິໄ​ຈ​ໄດ້​ເປີດ​ເຜີຍ​ຂໍ້​ມູນ​ຂອງ​ເ​ຊີ​ເວີ​ C2 ຫຼາຍ​ຈຸດ​ ທີ່​ເບິ່ງ​ຄື​ຈະ​ມີ​ຄວາມ​ເຊື່ອມ​ໂຍງ​ກັບ​ແຄມ​ເປນ​ການ​ໂຈມ​ຕີ​ 2 ແຄມ​ເປນ​ ຊຶ່ງ​ເຮັດໃຫ້​ເກີດ​ການ​ຕິດ​ມັນ​ແວ​ເທິງ​ອຸປະກອນ​ທີ່​ບໍ່​ຊ້ຳ​ລວມ​ກັນ​ຫຼາຍກວ່າ​ 3,000 ເຄື່ອງ​.

ເຖິງວ່າ​ຜູ້​ຄວບ​ຄຸມ​ມັນ​ແວ​ຈະ​ໃຊ້​ Cloudflare ເພື່ອ​ເຊື່ອງ​ຮ່ອງ​ຮອຍ​ຂອງ​ຕົນເອງ​ ແຕ່​ການຕັ້ງ​ຄ່າ​ທີ່​ຜິດ​ພາດ​ກໍ່ໄດ້​ເປີດ​ເຜີຍ​ IP Address ຕົ້ນ​ທາງ​ອອກ​ມາ​ ເຮັດໃຫ້​ສາມາດ​ເຊື່ອມ​ໂຍງ​ກັບ​ເ​ຊີ​ເວີ​​ C2 ທັງ​ໝົດ​ກັບ​ໄປ​ຫາ​ຜູ້​ໃຫ້​ບໍລິການ​ Hosting ລາຍ​ດຽວ​ກັນ​ໄດ້​.

ນັບ​ຕັ້ງ​ແຕ່​ເດືອນ​ ມີ​ນາ​ 2025 ຊຶ່ງ​ເປັນ​ຊ່ວງ​ທີ່​ Klopatra ເລີ່ມ​ປະກົດ​ຕົວ​ ແລະ​ ເລີ່ມ​ແຜ່ກ​ະ​ຈາຍ​ເ​ປັ​ນ​ເທື່ອ​ທໍາອິດ​ ມີ​ການ​ຄົ້ນ​ພົບ​ເວີ​ຊັ່ນ​ທີ່​ແຕກ​ຕ່າງ​ກັນ​ແລ້ວ​ເຖິງ​ 40 ເວີ​​ຊັ່ນ​ ຊຶ່ງ​ເປັນ​ສັນຍາ​ນ​ສະແດງ​ໃຫ້​ເຫັນ​ເຖິງ​ການ​ພັດທະນາ​ຢ່າງ​ຕໍ່​ເນື່ອງ​ ແລະ ​ການ​ປ່ຽນ​ແປງ​ທີ່​ວ່ອງໄວ​ຂອງ​ Android Trojan ໂຕ​ໃໝ່​ນີ້​.

ຂໍ​ແນະ​ນຳ​ໃຫ້​ຜູ້​ໃຊ້​ລະບົບ​ Android ຫຼີກ​ລ້ຽງ​ການ​ດາວ​​ໂຫຼດ​ຟາຍ​ APK ຈາກ​ເວັບ​ໄຊ​​ທີ່​ບໍ່​ໜ້າ​ເຊື່ອ​ຖື​ ຫຼື ​ແຫຼ່ງ​ທີ່​ບໍ່​ຮູ້​ຈັກ​, ປະຕິເສດ​ຄຳ​ຂໍ​ສິດ​ການ​ເຂົ້າ​ເຖິງ​ Accessibility Service ຈາກ​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ທີ່​ບໍ່​ໜ້າ​ໄວ້​ໃຈ​ ແລະ ​ເປີດ​ໃຊ້​ງານ​ Google Play Protect ເທິງ​ອຸປະກອນ​ໄວ້​ສະເໝີ.

ເອກະສານອ້າງອີງ:

1. https://www.bleepingcomputer.com/news/security/android-malware-uses-vnc-to-give-attackers-hands-on-access/
2. https://www.i-secure.co.th/2025/10/%e0%b8%a1%e0%b8%b1%e0%b8%a5%e0%b9%81%e0%b8%a7%e0%b8%a3%e0%b9%8c%e0%b8%9a%e0%b8%99-android-%e0%b9%83%e0%b8%8a%e0%b9%89-vnc-%e0%b9%80%e0%b8%9e%e0%b8%b7%e0%b9%88%e0%b8%ad%e0%b9%83%e0%b8%ab%e0%b9%89/