พบมัลแวร์ดูดเงิน Golddigger และ Gigabud กลับมาแพร่ระบาดอีกครั้ง

Android นั้นจัดเป็นระบบปฏิบัติการที่มีเสียงแตกมากที่สุดตัวหนึ่ง เพราะนอกจากตัวอุปกรณ์ที่ใช้ส่วนมากราคาอยู่ในระดับสะดวกซื้อ ตัว OS มีความยืดหยุ่นในการใช้งานแล้ว ก็มีอีกด้านที่นำภัยทั้งด้านการแฮก และมัลแวร์เข้ามามากมายจนเกิดกรณีแปลก ๆ ได้หลายครั้งเช่นเดียวกัน

จากรายงานโดยเว็บไซต์ Cyber Security News ได้มีการตรวจพลมัลแวร์ประเภทขโมยเงินจากบัญชีธนาคาร หรือ Banking Malware 2 ตัวที่กำลังระบาดหนักนั่นคือ Gigabud ซึ่งใช้การระบาดรอบแรกนั้นเคยระบาดหนักในประเทศไทยนี้เอง (ซึ่งอาจเป็นมัลแวร์ดูดเงินที่เป็นข่าวดังในช่วงปีที่ผ่านมาในไทย เนื่องจากแหล่งข่าวระบุว่าตัวมัลแวร์นั้นมีการปลอมตัวเป็นแอปพลิเคชันของทางหน่วยงานรัฐเพื่อหลอกลวงเหยื่อให้ติดตั้ง) รวมไปถึงมีรายงานการระบาดในฟิลิปปินส์ และเปรูอีกด้วย และ Golddigger ที่มีจุดเริ่มต้นการระบาดที่เวียดนาม โดยทั้ง 2 ตัวนั้นในปัจจุบันกำลังมีการระบาดอย่างหนักในประเทศบังกลาเทศ, เม็กซิโก, อินโดนีเซีย, แอฟริกาใต้ และเอธิโอเปีย โดยการระบาดในแต่ละท้องที่ก็จะมีการโจมตีที่เรียกว่า ถูกปรับให้เข้ากับพื้นที่นั้น ๆ เพื่อให้สามารถแพร่กระจายได้ง่ายดายยิ่งขึ้น

สำหรับกรณีตัวอย่างของการแพร่กระจายของมัลแวร์ Gigabud ในรอบนนี้นั้น ทางทีมวิจัยได้ยกการระบาดในแถบแอฟริกามาว่า ทางแฮกเกอร์ได้ใช้วิธีการหลอกลวงเหยื่อ หรือ Phishing เพื่อล่อลวงให้ติดตั้งมัลแวร์ด้วยการสร้างเว็บไซต์ปลอมที่มีหน้าตาคล้ายคลึงกับแอปสโตร์ของ Android อย่าง Google Play Store

โดยตัวมัลแวร์นั้นจะปลอมตัวเป็นแอปพลิเคชันของสายการบินดังในประเทศแอฟริกาใต้และเอธิโอเปีย ซึ่งแสดงจุดประสงค์ที่ชัดเจนว่าเพ่งเล็งในการขโมยทรัพย์สินของกลุ่มเหยื่อที่เป็นลูกค้าสายการบินดังในภูมิภาคนี้ นอกจากนี้ทางทีมวิจัยยังได้ให้รายละเอียดเพิ่มเติมของการหลอกลวงเหยื่อให้ติดตั้งมัลแวร์ตัวดังกล่าวในแถบประเทศเม็กซิโกและอินโดนีเซีย ซึ่งก็ได้มีการปรับเปลี่ยนวิธีไปตามสถานที่และกลุ่มเหยื่อตามที่ได้ระบุไว้ข้างต้น นั้นคือ การโจมตีใน 2 ประเทศหลัง แฮกเกอร์จะทำการปลอมมัลแวร์เป็นแอปพลิเคชันดังด้านการเงิน และภาษีอย่าง HeyBanco และ M-Pajak แทน

ไอคอนที่มัลแวร์ Gigabud ใช้ในการปลอมตัว
ภาพจาก : https://cybersecuritynews.com/golddigger-gigabud-malware-airlines/

ถ้าเพียงเท่านั้นยังร้ายกาจไม่พอ มัลแวร์ Gigabud รุ่นใหม่ยังมีการใช้ระบบ Retrofit เพื่อใช้ในการสื่อสารระหว่างตัวมัลแวร์และเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ด้วยการสร้าง Endpoints เพื่อส่งข้อมูลสำคัญไม่ว่าจะเป็น SMS, ข้อมูลในสมุดโทรศัพท์ของเหยื่อ, และภาพบันทึกหน้าจอ ไปสู่เซิร์ฟเวอร์ปลายทางเพื่อให้แฮกเกอร์สามารถนำไปทำประโยชน์ต่อได้อีกด้วย

นอกจากนั้นแล้วยังมีการตรวจพบอีกว่า โค้ดภายในมัลแวร์ Gigabud นั้นมีลักษณะที่คล้ายคลึงมัลแวร์ประเภทเดียวกันอย่าง Golddigger อีกด้วย ทำให้มีการคาดการณ์ว่ามัลแวร์ทั้ง 2 ตัวนั้นมีต้นกำเนิดมาจากกลุ่มผู้ไม่ประสงค์ดีกลุ่มเดียวกันหรืออยู่ในเครือข่ายเดียวกัน โดยมัลแวร์ Gigabud รอบที่ระบาดครั้งล่าสุดนั้น ได้มีการนำเอาเทคนิคการตีรวน (Obfuscation) ที่คล้ายคลึงกับ Golddigger เข้ามาใช้ นั่นคือมีการใช้เทคนิคการใช้ Virtual Box Packer เข้ามาใช้ในการตีรวน ขณะที่ Golddigger จะใช้ไฟล์ Zip แทน นอกจากนั้นแล้วมัลแวร์ทั้ง 2 ตัวนั้นยังมีการใช้ Native Library ตัวเดียวกันนั่นคือ “libstrategy.so”เพื่อใช้ในการจู่โจมในส่วน UI ของแอปพลิเคชันธนาคารอีกด้วย โดยความคล้ายคลึงกันนี้นั้นนับเป็นส่วนหนึ่งของหลายสิ่งที่คล้ายกันมากระหว่างมัลแวร์ 2 ตัวนี้

จากข่าวข้างต้นจะเห็นได้ว่ามัลแวร์ตัวดังกล่าวนั้นทำงานได้อย่างไร และหวังว่าผู้อ่านจะมีความระมัดระวังมากขึ้นในการดาวน์โหลดแอปพลิเคชันต่าง ๆ มาติดบนเครื่อง และเพิ่มเติมสำหรับการป้องกันตัวในประเทศนี้นั่นคือ การอย่างปล่อยใจให้หวั่นไหวกับโจรที่ปลอมตัวมาเพื่อใช้มัลแวร์ขโมยเงินจากบัญชีของผู้อ่าน เพื่อป้องกันต้องมีใจเข้มแข็งและยั้งคิดเสมอ ก่อนโดนหลอกกดลิงค์เพื่อดาวน์โหลดมัลแวร์เจ้าปัญหามาติดตั้ง