Rokarolla ມັນແວ (Malware) ເທິງ Android ໂຕໃໝ່ ມີເປົ້າໝາຍໂຈມຕີແອັບທະນາຄານ ແລະ ແອັບ Crypto ເຖິງ 217 ແອັບ
Banking Trojan ເທິງ Android ໂຕໃໝ່ທີ່ມີຊື່ວ່າ Rokarolla ກຳລັງມີເປົ້າການໂຈມຕີໄປທີ່ແອັບພິເຄຊັ່ນທະນາຄານ ແລະ Crypto ຈຳນວນ 217 ແອັບ ໂດຍໃຊ້ຊຸດຄຳສັ່ງທີ່ຄອບຄຸມເຖິງ 137 ຄຳສັ່ງ.
ມັນແວ (Malware) ໂຕນີ້ແຜ່ກະຈາຍຜ່ານເວັບໄຊທີ່ເປັນອັນຕະລາຍທີ່ຕົວະໃຫ້ດາວໂຫຼດແອັບ Google Chrome ຫຼື TikTok ແລະ ມັນແວສາມາດເຂົ້າຄວບຄຸມອຸປະກອນທີ່ຖືກໂຈມຕີໄດ້ຢ່າງສົມບູນໃນລະດັບຜູ້ເບິ່ງແຍງລະບົບ.
ຄວາມສາມາດຂອງມັນແວ ລວມເຖິງການລັກລະຫັດຜ່ານປົດລັອກໜ້າຈໍ, ລາຍຊື່ຜູ້ຕິດຕໍ່ ແລະ ຂໍ້ມູນ SMS ຈົນເຖິງມີການໃຊ້ Keyloggers ເພື່ອລໍຖ້າບັນທຶກການກົດແປ້ນພິມຂອງຜູ້ໃຊ້ຢ່າງຕໍ່ເນື່ອງ.ໃນລະຫວ່າງຂັ້ນຕອນການຕິດຕັ້ງ ແອັບທີ່ເປັນອັນຕະລາຍຈະເຮັດໜ້າທີ່ເປັນ Dropper ໂດຍການປອມຕົວເປັນ Google Play Protect ຊຶ່ງເປັນລະບົບປ້ອງກັນມັນແວທີ່ມີມາໃຫ້ໃນເຄື່ອງຂອງ Android ເພື່ອຫຼອກລໍ້ໃຫ້ຜູ້ໃຊ້ຕິດຕັ້ງແອັບ Chrome ຫຼື TikTok ທີ່ມີການຝັງມັນແວ Rokarolla ເອົາໄວ້.
ນັກວິໄຈຈາກບໍລິສັດຮັກສາຄວາມປອດໄພເທິງມືຖື Zimperium ເປີດເຜີຍລາຍລະອຽດວ່າ ເມື່ອແອັບຖືກເປີດໃຊ້ງານເທິງເຄື່ອງ Rokarolla ຈະຮ້ອງຂໍສິດການເຂົ້າເຖິງ (Accessibility service) ລວມໄປເຖິງສິດໃນການເຂົ້າເຖິງການແຈ້ງເຕືອນ, ຂໍ້ຄວາມ SMS ແລະ ຂໍ້ມູນການໂທລະສັບ.
ການສື່ສານກັບເຊີເວີ C2 ເລີ່ມຕົ້ນດ້ວຍການສົ່ງຂໍ້ມູນພື້ນຖານຂອງອຸປະກອນ ຊຶ່ງປະກອບດ້ວຍລາຍລະອຽດຕ່າງໆ ເຊັ່ນ: ຮູ້ນຂອງໂທລະສັບ, ເວີຊັ່ນຂອງ Android ທີ່ຕິດຕັ້ງ, ການຕັ້ງຄ່າ Locale, ຄຸນລັກສະນະຂອງໜ້າຈໍສະແດງຜົນ, ລະດັບແບັດເຕີຣີ່, ຄວາມຈຸພື້ນທີ່ຈັດເກັບຂໍ້ມູນ ແລະ RAM ທີ່ວ່າງຢູ່.
ຂໍ້ມູນຈາກ Zimperium ລະບຸວ່າ ຂໍ້ມູນເຫຼົ່ານີ້ຖືກນຳໄປໃຊ້ເພື່ອສ້າງລະຫັດລະບຸຕົວຕົນສະເພາະ (Unique Identifier) ສຳລັບເຫຍື່ອແຕ່ລະລາຍໃນແຄມເປນການໂຈມຕີຂອງ Rokarolla.
Zimperium ລະບຸວ່າ ວັດຖຸປະສົງຫຼັກຂອງມັນແວໂຕນີ້ເບິ່ງຄືວ່າຈະເປັນການລັກຂໍ້ມູນທາງການເງິນ ແລະ ເພື່ອໃຫ້ບັນລຸເປົ້າໝາຍດັ່ງກ່າວ ມັນແວຈະກວດສອບແອັບພິເຄຊັ່ນໃນເຄື່ອງທີ່ຕິດມັນແວທຽບກັບລາຍຊື່ແອັບເປົ້າໝາຍຈຳນວນ 217 ແອັບ ຈາກນັ້ນຈຶ່ງດາວໂຫຼດ Phishing Payload ທີ່ກົງກັບແອັບເຫຼົ່ານັ້ນລົງມາ.
ເມື່ອເຫຍື່ອເປີດໃຊ້ງານແອັບທີ່ຢູ່ໃນລາຍຊື່ Rokarolla ຈະສະແດງໜ້າຕ່າງລັອກອິນປອມຊ້ອນທັບຂຶ້ນມາເພື່ອລັກຂໍ້ມູນ Credentials, ຂໍ້ມູນບັດເຄດິດ ແລະ ຂໍ້ມູນທາງການເງິນອື່ນໆ.
ຢ່າງໃດກໍ່ຕາມ, ການໃຊ້ໜ້າຕ່າງຊ້ອນທັບນີ້ບໍ່ໄດ້ຈຳກັດຢູ່ພຽງແຕ່ການລັກຂໍ້ມູນເທົ່ານັ້ນ ມັນແວຍັງໃຊ້ວິທີນີ້ໃນການດັກຈັບລະຫັດ PIN ຫຼື ຮູບແບບ (Pattern) ປົດລັອກໜ້າຈໍ ແລະ ຄວບຄຸມອຸປະກອນເຖິງແມ່ນວ່າໜ້າຈໍຈະຍັງລັອກຢູ່.
ນອກຈາກນີ້, ໜ້າຕ່າງຊ້ອນທັບຍັງຖືກໃຊ້ເພື່ອປົກປິດກິດຈະກຳຂອງມັນແວ ແລະ ຂັດຂວາງການໂຕ້ຕອບຂອງຜູ້ໃຊ້ ໂດຍການສະແດງໜ້າຈໍການຕິດຕັ້ງປອມຂຶ້ນມາເມື່ອຈຳເປັນ.
ຍຸດທະສາດການຫຼົບຫຼີກເພີ່ມຕື່ມ ໄດ້ແກ່ ການປິດໃຊ້ງານ Google Play Protect, ການເຊື່ອງໄອຄອນແອັບພິເຄຊັ່ນຈາກໜ້າລວມແອັບ, ການປິດສຽງ ແລະ ລະບົບສັ່ນ ລວມເຖິງການເຮັດໃຫ້ໜ້າຈໍເປີດຢູ່ຕະຫຼອດເວລາ.
Zimperium ໄດ້ສ້າງ Repository ເທິງ GitHub ທີ່ສັງລວມຄຳສັ່ງທັງໝົດ 137 ຄຳສັ່ງທີ່ Rokarolla ສາມາດໃຊ້ໄດ້ ໂດຍຕົວຢ່າງຄຳສັ່ງທີ່ໃຊ້ໃນການລັກຂໍ້ມູນ ມີລາຍລະອຽດດັ່ງນີ້:
• ລັກຂໍ້ຄວາມ SMS;
• ລັກຂໍ້ມູນລາຍຊື່ຜູ້ຕິດຕໍ່ ແລະ ລາຍຊື່ຜູ້ຕິດຕໍ່ໃນ WhatsApp;
• ດັກຈັບການກົດແປ້ນພິມ;
• ບັນທຶກເນື້ອໃນເທິງໜ້າຈໍຜ່ານ UI logging;
• ສໍາເນົາ ແລະ ດັດແກ້ເນື້ອໃນໃນ Clipboard;
• ບລັອກສາຍເອີ້ນເຂົ້າ ແລະ ການແຈ້ງເຕືອນການສໍ້ໂກງຈາກທະນາຄານ;
• ຈັບພາບໜ້າຈໍເປັນໄລຍະ ແລະ ອັບໂຫຼດພ້ອມກັບ Timestamps.
ການລວມຄວາມສາມາດເຫຼົ່ານີ້ເຂົ້ານຳກັນ ເຮັດໃຫ້ຜູ້ຄວບຄຸມ Rokarolla ສາມາດເຂົ້າຄວບຄຸມອຸປະກອນ Android ທີ່ຕິດມັແວໄດ້ເກືອບຈະສົມບູນແບບໃນລະດັບຜູ້ເບິ່ງແຍງລະບົບ ຊຶ່ງຈະຊ່ວຍໃຫ້ພວກເຂົາສາມາດກໍ່ເຫດສໍ້ໂກງທາງການເງິນຂັ້ນສູງໄດ້.
ຄໍາແນະນໍາ:
Zimperium ບໍ່ພົບມັນແວໂຕນີ້ເທິງ Google Play ຊຶ່ງເປັນແຫຼ່ງດາວໂຫຼດແອບພິເຄຊັ່ນຢ່າງເປັນທາງການສຳລັບ Android ແຕ່ກໍ່ຂໍແນະນຳໃຫ້ຜູ້ໃຊ້ຫຼີກເວັ້ນການດາວໂຫຼດຟາຍ APK ຈາກແຫຼ່ງອື່ນພາຍນອກ Google Play ເວັ້ນແຕ່ຈະເຊື່ອຖືຜູ້ພັດທະນາແອັບນັ້ນໄດ້ແທ້.
ນອກຈາກນີ້, ຜູ້ໃຊ້ຄວນລະມັດລະວັງເມື່ອຕ້ອງອະນຸຍາດສິດ Accessibility ເນື່ອງຈາກສິດເຫລົ່ານີ້ອາດຈະຖືກນຳໄປໃຊ້ໃນທາງທີ່ຜິດເພື່ອຫຼັບຫຼີກລະບົບຮັກສາຄວາມປອດໄພຕາມມາດຕະຖານຂອງ Android ແລະ ຊ່ວຍໃຫ້ມັນແວໄດ້ຮັບສິດທີ່ສູງຂຶ້ນໃນການໂຕ້ຕອບກັບໜ້າຈໍຜູ້ໃຊ້ ຫຼື ກົດຢືນຢັນຄຳຂໍຕ່າງໆ ຂອງລະບົບໂດຍອັດຕະໂນມັດ ຊຶ່ງລ້ວນເປັນການກະທຳທີ່ມັນແວ Android ມັກຈະພະຍາຍາມໂຈມຕີ ເພື່ອເຂົ້າມາຄວບຄຸມໃຫ້ໄດ້.
ເອກະສານອ້າງອີງ:
1. https://www.bleepingcomputer.com/news/security/new-rokarolla-android-malware-targets-217-banking-crypto-apps/
2. https://www.i-secure.co.th/2026/06/rokarolla-%e0%b8%a1%e0%b8%b1%e0%b8%a5%e0%b9%81%e0%b8%a7%e0%b8%a3%e0%b9%8c%e0%b8%9a%e0%b8%99-android-%e0%b8%95%e0%b8%b1%e0%b8%a7%e0%b9%83%e0%b8%ab%e0%b8%a1%e0%b9%88-%e0%b8%a1%e0%b8%b8%e0%b9%88%e0%b8%87/
ມັນແວ (Malware) ໂຕນີ້ແຜ່ກະຈາຍຜ່ານເວັບໄຊທີ່ເປັນອັນຕະລາຍທີ່ຕົວະໃຫ້ດາວໂຫຼດແອັບ Google Chrome ຫຼື TikTok ແລະ ມັນແວສາມາດເຂົ້າຄວບຄຸມອຸປະກອນທີ່ຖືກໂຈມຕີໄດ້ຢ່າງສົມບູນໃນລະດັບຜູ້ເບິ່ງແຍງລະບົບ.
ຄວາມສາມາດຂອງມັນແວ ລວມເຖິງການລັກລະຫັດຜ່ານປົດລັອກໜ້າຈໍ, ລາຍຊື່ຜູ້ຕິດຕໍ່ ແລະ ຂໍ້ມູນ SMS ຈົນເຖິງມີການໃຊ້ Keyloggers ເພື່ອລໍຖ້າບັນທຶກການກົດແປ້ນພິມຂອງຜູ້ໃຊ້ຢ່າງຕໍ່ເນື່ອງ.ໃນລະຫວ່າງຂັ້ນຕອນການຕິດຕັ້ງ ແອັບທີ່ເປັນອັນຕະລາຍຈະເຮັດໜ້າທີ່ເປັນ Dropper ໂດຍການປອມຕົວເປັນ Google Play Protect ຊຶ່ງເປັນລະບົບປ້ອງກັນມັນແວທີ່ມີມາໃຫ້ໃນເຄື່ອງຂອງ Android ເພື່ອຫຼອກລໍ້ໃຫ້ຜູ້ໃຊ້ຕິດຕັ້ງແອັບ Chrome ຫຼື TikTok ທີ່ມີການຝັງມັນແວ Rokarolla ເອົາໄວ້.
ນັກວິໄຈຈາກບໍລິສັດຮັກສາຄວາມປອດໄພເທິງມືຖື Zimperium ເປີດເຜີຍລາຍລະອຽດວ່າ ເມື່ອແອັບຖືກເປີດໃຊ້ງານເທິງເຄື່ອງ Rokarolla ຈະຮ້ອງຂໍສິດການເຂົ້າເຖິງ (Accessibility service) ລວມໄປເຖິງສິດໃນການເຂົ້າເຖິງການແຈ້ງເຕືອນ, ຂໍ້ຄວາມ SMS ແລະ ຂໍ້ມູນການໂທລະສັບ.
ການສື່ສານກັບເຊີເວີ C2 ເລີ່ມຕົ້ນດ້ວຍການສົ່ງຂໍ້ມູນພື້ນຖານຂອງອຸປະກອນ ຊຶ່ງປະກອບດ້ວຍລາຍລະອຽດຕ່າງໆ ເຊັ່ນ: ຮູ້ນຂອງໂທລະສັບ, ເວີຊັ່ນຂອງ Android ທີ່ຕິດຕັ້ງ, ການຕັ້ງຄ່າ Locale, ຄຸນລັກສະນະຂອງໜ້າຈໍສະແດງຜົນ, ລະດັບແບັດເຕີຣີ່, ຄວາມຈຸພື້ນທີ່ຈັດເກັບຂໍ້ມູນ ແລະ RAM ທີ່ວ່າງຢູ່.
ຂໍ້ມູນຈາກ Zimperium ລະບຸວ່າ ຂໍ້ມູນເຫຼົ່ານີ້ຖືກນຳໄປໃຊ້ເພື່ອສ້າງລະຫັດລະບຸຕົວຕົນສະເພາະ (Unique Identifier) ສຳລັບເຫຍື່ອແຕ່ລະລາຍໃນແຄມເປນການໂຈມຕີຂອງ Rokarolla.
Zimperium ລະບຸວ່າ ວັດຖຸປະສົງຫຼັກຂອງມັນແວໂຕນີ້ເບິ່ງຄືວ່າຈະເປັນການລັກຂໍ້ມູນທາງການເງິນ ແລະ ເພື່ອໃຫ້ບັນລຸເປົ້າໝາຍດັ່ງກ່າວ ມັນແວຈະກວດສອບແອັບພິເຄຊັ່ນໃນເຄື່ອງທີ່ຕິດມັນແວທຽບກັບລາຍຊື່ແອັບເປົ້າໝາຍຈຳນວນ 217 ແອັບ ຈາກນັ້ນຈຶ່ງດາວໂຫຼດ Phishing Payload ທີ່ກົງກັບແອັບເຫຼົ່ານັ້ນລົງມາ.
ເມື່ອເຫຍື່ອເປີດໃຊ້ງານແອັບທີ່ຢູ່ໃນລາຍຊື່ Rokarolla ຈະສະແດງໜ້າຕ່າງລັອກອິນປອມຊ້ອນທັບຂຶ້ນມາເພື່ອລັກຂໍ້ມູນ Credentials, ຂໍ້ມູນບັດເຄດິດ ແລະ ຂໍ້ມູນທາງການເງິນອື່ນໆ.
ຢ່າງໃດກໍ່ຕາມ, ການໃຊ້ໜ້າຕ່າງຊ້ອນທັບນີ້ບໍ່ໄດ້ຈຳກັດຢູ່ພຽງແຕ່ການລັກຂໍ້ມູນເທົ່ານັ້ນ ມັນແວຍັງໃຊ້ວິທີນີ້ໃນການດັກຈັບລະຫັດ PIN ຫຼື ຮູບແບບ (Pattern) ປົດລັອກໜ້າຈໍ ແລະ ຄວບຄຸມອຸປະກອນເຖິງແມ່ນວ່າໜ້າຈໍຈະຍັງລັອກຢູ່.
ນອກຈາກນີ້, ໜ້າຕ່າງຊ້ອນທັບຍັງຖືກໃຊ້ເພື່ອປົກປິດກິດຈະກຳຂອງມັນແວ ແລະ ຂັດຂວາງການໂຕ້ຕອບຂອງຜູ້ໃຊ້ ໂດຍການສະແດງໜ້າຈໍການຕິດຕັ້ງປອມຂຶ້ນມາເມື່ອຈຳເປັນ.
ຍຸດທະສາດການຫຼົບຫຼີກເພີ່ມຕື່ມ ໄດ້ແກ່ ການປິດໃຊ້ງານ Google Play Protect, ການເຊື່ອງໄອຄອນແອັບພິເຄຊັ່ນຈາກໜ້າລວມແອັບ, ການປິດສຽງ ແລະ ລະບົບສັ່ນ ລວມເຖິງການເຮັດໃຫ້ໜ້າຈໍເປີດຢູ່ຕະຫຼອດເວລາ.
Zimperium ໄດ້ສ້າງ Repository ເທິງ GitHub ທີ່ສັງລວມຄຳສັ່ງທັງໝົດ 137 ຄຳສັ່ງທີ່ Rokarolla ສາມາດໃຊ້ໄດ້ ໂດຍຕົວຢ່າງຄຳສັ່ງທີ່ໃຊ້ໃນການລັກຂໍ້ມູນ ມີລາຍລະອຽດດັ່ງນີ້:
• ລັກຂໍ້ຄວາມ SMS;
• ລັກຂໍ້ມູນລາຍຊື່ຜູ້ຕິດຕໍ່ ແລະ ລາຍຊື່ຜູ້ຕິດຕໍ່ໃນ WhatsApp;
• ດັກຈັບການກົດແປ້ນພິມ;
• ບັນທຶກເນື້ອໃນເທິງໜ້າຈໍຜ່ານ UI logging;
• ສໍາເນົາ ແລະ ດັດແກ້ເນື້ອໃນໃນ Clipboard;
• ບລັອກສາຍເອີ້ນເຂົ້າ ແລະ ການແຈ້ງເຕືອນການສໍ້ໂກງຈາກທະນາຄານ;
• ຈັບພາບໜ້າຈໍເປັນໄລຍະ ແລະ ອັບໂຫຼດພ້ອມກັບ Timestamps.
ການລວມຄວາມສາມາດເຫຼົ່ານີ້ເຂົ້ານຳກັນ ເຮັດໃຫ້ຜູ້ຄວບຄຸມ Rokarolla ສາມາດເຂົ້າຄວບຄຸມອຸປະກອນ Android ທີ່ຕິດມັແວໄດ້ເກືອບຈະສົມບູນແບບໃນລະດັບຜູ້ເບິ່ງແຍງລະບົບ ຊຶ່ງຈະຊ່ວຍໃຫ້ພວກເຂົາສາມາດກໍ່ເຫດສໍ້ໂກງທາງການເງິນຂັ້ນສູງໄດ້.
ຄໍາແນະນໍາ:
Zimperium ບໍ່ພົບມັນແວໂຕນີ້ເທິງ Google Play ຊຶ່ງເປັນແຫຼ່ງດາວໂຫຼດແອບພິເຄຊັ່ນຢ່າງເປັນທາງການສຳລັບ Android ແຕ່ກໍ່ຂໍແນະນຳໃຫ້ຜູ້ໃຊ້ຫຼີກເວັ້ນການດາວໂຫຼດຟາຍ APK ຈາກແຫຼ່ງອື່ນພາຍນອກ Google Play ເວັ້ນແຕ່ຈະເຊື່ອຖືຜູ້ພັດທະນາແອັບນັ້ນໄດ້ແທ້.
ນອກຈາກນີ້, ຜູ້ໃຊ້ຄວນລະມັດລະວັງເມື່ອຕ້ອງອະນຸຍາດສິດ Accessibility ເນື່ອງຈາກສິດເຫລົ່ານີ້ອາດຈະຖືກນຳໄປໃຊ້ໃນທາງທີ່ຜິດເພື່ອຫຼັບຫຼີກລະບົບຮັກສາຄວາມປອດໄພຕາມມາດຕະຖານຂອງ Android ແລະ ຊ່ວຍໃຫ້ມັນແວໄດ້ຮັບສິດທີ່ສູງຂຶ້ນໃນການໂຕ້ຕອບກັບໜ້າຈໍຜູ້ໃຊ້ ຫຼື ກົດຢືນຢັນຄຳຂໍຕ່າງໆ ຂອງລະບົບໂດຍອັດຕະໂນມັດ ຊຶ່ງລ້ວນເປັນການກະທຳທີ່ມັນແວ Android ມັກຈະພະຍາຍາມໂຈມຕີ ເພື່ອເຂົ້າມາຄວບຄຸມໃຫ້ໄດ້.
ເອກະສານອ້າງອີງ:
1. https://www.bleepingcomputer.com/news/security/new-rokarolla-android-malware-targets-217-banking-crypto-apps/
2. https://www.i-secure.co.th/2026/06/rokarolla-%e0%b8%a1%e0%b8%b1%e0%b8%a5%e0%b9%81%e0%b8%a7%e0%b8%a3%e0%b9%8c%e0%b8%9a%e0%b8%99-android-%e0%b8%95%e0%b8%b1%e0%b8%a7%e0%b9%83%e0%b8%ab%e0%b8%a1%e0%b9%88-%e0%b8%a1%e0%b8%b8%e0%b9%88%e0%b8%87/
ລາຍການຮູບ
