ชาวดรอยด์ระวัง! มัลแวร์ DroidBot มุ่งเป้าขโมยเงินจากแอปธนาคารร่วม 77 ตัว แอปคริปโตก็โดนด้วย

มัลแวร์ขโมยข้อมูล หรือแม้กระทั่งลอบขโมยเงินจากธนาคารนั้นมักจะเป็นข่าวดังอยู่เสมอ โดยเฉพาะในไทยที่มีข่าวของผู้คนที่โดนหลอกกดลิงก์แล้วเงินหายอย่างลึกลับไปแทบจะไม่เว้นแต่ละวัน และวันนี้มัลแวร์ตัวใหม่ก็ได้เผยโฉมมาอีกครั้งหนึ่งแล้ว

จากรายงานโดยเว็บไซต์ Bleeping Computer ได้รายงานถึงการตรวจพบมัลแวร์ประเภทเพื่อการขโมยข้อมูลรหัสผ่านตัวใหม่โดยมุ่งเน้นการโจมตีไปยังแอปพลิเคชันธนาคาร การเงิน และคริปโตเคอร์เรนซี มากถึง 77 ตัวด้วยกัน (ซึ่งแหล่งข่าวไม่ได้กล่าวชัดเจนว่าเป็นมัลแวร์ประเภท Infostealer หรือ Banking Malware) ที่มีชื่อว่า DroidBot ซึ่งแอปพลิเคชันที่ตกเป็นเหยื่อนั้นเรียกว่ามีมากมายหลายตัว และบางตัวก็เป็นแอปพลิเคชันที่คุ้นเคยกับชาวไทย อย่างเช่น Binance, KuCoin, BBVA, Unicredit, Santander, Metamask, BNP Paribas, Credit Agricole, Kraken และ Garanti BBVA เป็นต้น

โดยการค้นพบในครั้งนี้เป็นผลงานของทีมวิจัยจากบริษัท Cleafy ซึ่งเป็นบริษัทผู้เชี่ยวชาญด้านการจัดการกับการฉ้อโกงออนไลน์ โดยทีมวิจัยได้ระบุว่า มัลแวร์ตัวดังกล่าวนั้นเป็นมัลแวร์ในรูปแบบเช่าใช้งาน (Malware-as-a-Service หรือ MaaS) ในราคา 3,000 ดอลลาร์สหรัฐต่อเดือน (ประมาณ 102,000 บาท) ซึ่งคาดว่าถูกพัฒนาโดยกลุ่มแฮกเกอร์ชาวตุรกี โดยมัลแวร์ตัวนี้เป็นมัลแวร์สำหรับโจมตีกลุ่มผู้ที่ใช้งานระบบปฏิบัติการ Android ในปัจจุบันมีกลุ่มแฮกเกอร์มากกว่า 17 กลุ่มที่ได้นำเอามัลแวร์ตัวดังกล่าวไปใช้ และกำลังระบาดหนักอยู่ในหลากประเทศ เช่น สหราชอาณาจักร (อังกฤษ), อิตาลี, ตุรกี, ฝรั่งเศส, สเปน, และ โปรตุเกส นอกจากนั้นแล้ว ยังมีข่าวกรองที่เผยออกมาว่าภูมิภาคลาตินอเมริกากำลังจะเป็นเป้าหมายถัดไปในการโจมตีด้วยมัลแวร์ตัวนี้ โดยมัลแวร์ดังกล่าวตรวจพบว่าเริ่มระบาดครั้งแรกในช่วงเดือนมิถุนายนที่ผ่านมาในปีนี้นี่เอง

ภาพจาก : https://www.bleepingcomputer.com/news/security/new-droidbot-android-malware-targets-77-banking-crypto-apps/

สำหรับการแพร่ระบาดของมัลแวร์ดังกล่าวนั้น ตัวมัลแวร์จะปลอมตัวเป็นแอปพลิเคชันชื่อดังสำหรับผู้ใช้งาน Android อย่างเช่น Google Chrome, Google Play Store และเครื่องมือสำหรับการรักษาความปลอดภัยบน Android เพื่อหลอกให้เหยื่อติดตั้งมัลแวร์ดังกล่าวลงสู่เครื่อง (แต่แหล่งข่าวไม่ได้ระบุรายละเอียดของการหลอกลวงนี้ เนื่องมาจากแอปพลิเคชันเหล่านี้ส่วนมากมักจะถูกติดตั้งอยู่บนโทรศัพท์มือถือ Android มาตั้งแต่ต้นจากโรงงานอยู่แล้ว) โดยหลังจากที่ติดตั้งเสร็จเรียบร้อยแล้ว มัลแวร์ก็จากเริ่มทำงานทันที ซึ่งตัวมัลแวร์มีศักยภาพในการขโมยข้อมูลดังนี้

• ดักจับการพิมพ์ (Keylogger): ตัวมัลแวร์จะดักเก็บข้อมูลการพิมพ์ของเหยื่อแบบทุกตัวอักษร
• เปิดหน้าเพจแบบซ้อนทับ (Overlaying): ตัวมัลแวร์จะเปิดหน้าล็อกอินปลอมขึ้นมา โดยเลียนแบบหน้าล็อกอินของแอปพลิเคชันธนาคารที่ถูกตั้งเป้าไว้ เพื่อหลอกขโมยรหัสผ่านจากเหยื่อ
• ดักเก็บข้อความ SMS (SMS Intercepting): ตัวมัลแวร์จะทำการดักเก็บข้อมูลจากข้อความ SMS (Short Message Service) เพื่อขโมยข้อมูลสำคัญ โดยเฉพาะรหัสผ่านแบบใช้งานครั้งเดียว (OTP หรือ One-Time Password)
• Virtual Network Computing (VNC): เป็นเครือข่ายรูปแบบหนึ่งที่เปิดให้แฮกเกอร์สามารถเข้าควบคุมเครื่องของเหยื่อ ยิงโค้ดใส่ และใช้กลเม็ดเพื่อเบนความสนใจเหยื่อ อย่างเช่น ดับหน้าจอเพื่อซ่อนการทำงานของมัลแวร์

นอกจากนั้น ยังมีการตรวจพบอีกว่ามัลแวร์ดังกล่าวยังมีการใช้งานโหมดช่วยเหลือผู้ใช้งานที่พิการ (Accessibility Mode) เพื่อสอดส่องการใช้งาน และเข้าควบคุมเครื่อง โดยทางแหล่งข่าวได้กล่าวว่าถ้าพบเจอแอปพลิเคชันแปลก ๆ ที่ขออนุญาตเข้าใช้งานโหมดดังกล่าว (Permission) ให้สงสัยไว้ได้เลยว่าอาจเกี่ยวข้องกับมัลแวร์ตัวดังกล่าว ไม่เพียงเท่านั้นจากการตรวจสอบเครื่องมือสำหรับสร้างมัลแวร์ (Malware Builder) ยังพบอีกว่าแฮกเกอร์ที่ซื้อมัลแวร์ดังกล่าวไปนั้นสามารถดัดแปลงมัลแวร์ในมุ่งโจมตีแอปพลิเคชันแบบจำเพาะ ภายใต้เงื่อนไขภาษา และภูมิภาคตามที่กำหนดไว้ได้

นอกจากนั้น ยังสามารถเปลี่ยนแปลงที่อยู่ของเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ไปยังเซิร์ฟเวอร์ที่กลุ่มแฮกเกอร์ใช้งานอีกด้วย หมายความว่า ถ้ามีกลุ่มแฮกเกอร์ในภูมิภาคนี้ได้ทำการซื้อมัลแวร์ตัวดังกล่าวมาก็สามารถดัดแปลงให้เพ่งเล็งมาที่แอปพลิเคชันธนาคารในไทย เปิดหน้าล็อกอินภาษาไทย เพื่อขโมยข้อมูลของผู้ใช้งานในไทยก็สามารถทำได้ ดังนั้นขอให้ผู้อ่านทุกท่านมีความระมัดระวังในการดาวน์โหลด และติดตั้งแอปพลิเคชันอยู่เสมอ