Tags:
Node Thumbnail

เมื่อวานนี้มีข่าวถึงเจ้าของบัญชีถูกมิจฉาชีพหลอกส่งลิงก์ผ่าน LINE โดยอ้างว่าค้างภาษี โดยเนื้อข่าวจาก CH3Plus ระบุว่าเมื่อกดลิงก์ไปแล้วโทรศัพท์ค้าง และภายหลังเงินก็ถูกโอนออกจากบัญชีต่างๆ รวมกว่า 1.4 ล้านบาท แม้ว่าเราจะตรวจสอบไม่ได้แน่ชัดว่าคนร้ายในกรณีนี้โจมตีโทรศัพท์เหยื่อได้อย่างไรหากเหยื่อเพียงแค่กดลิงก์ในข้อความ แต่รายงานจากศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) ก็เคยวิเคราะห์มัลแวร์ที่รูปแบบใกล้เคียงกันอย่างมากเอาไว้

TTC-CERT ระบุว่าพบมัลแวร์ปลอมตัวเป็นหน่วยงานภาครัฐ โดยครั้งนี้ปลอมตัวเป็นกรมสรรพากร แล้วหลอกล่อเหยื่อผ่านโทรศัพท์หรือแอปแชต จากนั้นส่งลิงก์ให้เหยื่อเข้าเว็บปลอมที่ปลอมเหมือนเป็นเว็บกรมสรรพากร แต่มีลิงก์กดเพื่อดาวน์โหลดเพิ่มเข้ามา เมื่อกดแล้วจะพยายามติดตั้งแอปชื่อ Revenue ที่ภายในเป็น Android Remote Access Trojan (RAT) สามารถควบคุมเครื่องและอ่านข้อมูลได้อย่างกว้างขวาง

เมื่อเหยื่อติดตั้งแอปแล้ว มัลแวร์จะเก็บข้อมูลแอปธนาคารที่อยู่ในเครื่องส่งกลับไปยังเซิร์ฟเวอร์ควบคุม รวมถึงรหัสเข้าแอปธนาคาร โดยตัวมัลแวร์ขอสิทธิ์สำหรับการอ่านและส่ง SMS ในตัว, สามารถอ่านไฟล์ได้ทั้งหมด, เปิดหน้าจอทับแอปพลิเคชั่นอื่นๆ, และเข้าถึงฟีเจอร์ Accessibility ที่ควบคุมหน้าจอได้สมบูรณ์

ทาง TTC-CERT พบว่าเซิร์ฟเวอร์ควบคุมของกลุ่มนี้ เคยแสดงหน้าเว็บปลอมเป็นหน่วยงานอื่นๆ มาก่อนแล้ว ได้แก่ กระทรวงการคลัง, กองทุนเงินให้กู้ยืมเพื่อการศึกษา, ธนาคารออมสิน, ธนาคารอิสลามแห่งประเทศไทย, ธนาคารอาคารสงเคราะห์, กรมสรรพสามิต, สำนักงานสลากกินแบ่งรัฐบาล, กรมสอบสวนคดีพิเศษ

ปัญหาของการใช้ Accessibility API ทำให้แอปสามารถอ่านหน้าจอได้โดยผู้ใช้ไม่รู้ตัว และกลายเป็นช่องทางให้มัลแวร์ต่างๆ ขโมยข้อมูลจากผู้ใช้เป็นปัญหาที่กูเกิลรับรู้แล้ว และใน Android 13 กูเกิลก็พยายามจำกัดการใช้งาน เพื่อให้ผู้ใช้รู้ตัวว่ากำลังให้สิทธิ์ที่สำคัญมากกับแอป

ที่มา - TTC-CERT, รายงาน Android Remote Access Trojan (RAT)

No Description

ภาพหน้าจอเว็บกรมสรรพากรปลอม พร้อมลิงก์ให้ดาวน์โหลดแอป

Get latest news from Blognone

Comments

By: tom789
Windows Phone
on 20 September 2022 - 12:44 #1262481

พอเข้าใจอยุ่นะ น่ากลัว ทำได้ขนาดนี้เลย แต่ถ้าคนกดอ่านดีๆ ไม่ยอมอนุญาติให้เข้าถึง หรือมันสแกนนิ้ว สแกนหน้าก็น่าจะรอดนะ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 20 September 2022 - 13:19 #1262489 Reply to:1262481
lew's picture

โดยส่วนตัว ผมคิดว่าแบงค์ชาติควรบังคับให้ธนาคารมีช่องทางปลอดภัยพิเศษนะครับ ต้องยืนยันธุรกรรมด้วย hardware token อย่างน้อยก็สำหรับบัญชีมูลค่าสูง (หรือไม่จำกัดมูลค่าก็ได้ แค่เปิดทางให้คิดค่าฮาร์ดแวร์/บริการแยกออกไป)


lewcpe.com, @wasonliw

By: rattananen
AndroidWindows
on 20 September 2022 - 13:51 #1262494 Reply to:1262481

มีมานานแล้วครับอะไรแบบนี้ ก่อนที่จะมี Iphone รุ่นแรก (Baidu PC faster, เหา, 555.in.th)
แต่ตอนนั้นคนยังไม่ใช้ Internet เยอะขนาดนี้

นี่ถ้า Edward Snowden ไม่แฉ NSA
จนทำให้ต้องเปลี่ยนมาเป็น HTTPS กัน คงหนักกว่านี้
ใช้ Man-in-the-middle attack กันเลย

By: sian
Windows PhoneAndroidWindows
on 20 September 2022 - 12:51 #1262484
sian's picture

เข้าของบัญชี

เจ้าของบัญชี

By: Perl
ContributoriPhoneUbuntu
on 20 September 2022 - 13:12 #1262488
Perl's picture

คือมีความรู้ในการใช้งาน Mobile Application
แต่ไม่มีความเข้าใจว่าองค์กรภาครัฐและธนาคาร ไม่มีการติดต่อสื่อสารหรือขอข้อมูลส่วนตัวใดๆ ทางโทรศัพท์

ทุกวันนี้แค่ Robot โทรมา มันยังไม่ทันได้พูด ผมก็วางสายไปแล้ว ขนาดติดตั้งแอพภาครัฐ ถึงแม้มาจาก App Store จริงๆ ผมยังแหยงเลย ใช้ Password ต่างจากปกติ เพราะระแวงไปว่าซักวันภาครัฐจะทำ Password เราแตกหลุดออกไปในที่สาธารณะ

By: Aize
ContributorWindows PhoneAndroidWindows
on 20 September 2022 - 13:33 #1262491
Aize's picture

ติดต่อภาครัชยังยาก นับประสาอะไรเขาจะติดต่อมาหาเรา 55555


The Dream hacker..

By: deaknaew on 20 September 2022 - 14:04 #1262496

Android มันติดตั้ง trojan ง่ายไปรึเปล่า อย่างน้อยๆ เดี๋ยวนี้ pc มันก็ขึ้นเตือนไฟล์ มี virus นะ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 20 September 2022 - 14:19 #1262501 Reply to:1262496
lew's picture

ผมเช็คค่า hash sha256:
2318bba1688c66b3e223adb74d79f51714db089ef2a849114b64370d80c38f89 ในรายงานยังไม่มีใน virustotal คิดว่าตัวนี้มันเฉพาะกลุ่มไป เลยยัง detect ไม่ได้นะครับ (ต่อให้เอาไฟล์มาวางใน PC ก็น่าจะไม่โดยตรวจ virus อยู่ดี)


lewcpe.com, @wasonliw

By: specimen
Windows PhoneAndroid
on 20 September 2022 - 17:24 #1262528 Reply to:1262496
specimen's picture

จริง ๆ การติดตั้งไฟล์ใน android ไม่ได้ง่ายแบบนั้นนะครับ
ถ้าเป็นไฟล์ที่ติดตั้งโดยช่องทางที่ไม่ใช่วิธีปกติ คุณต้องไปอนุญาตให้ app ตัวนั้น มีสิทธิ์ติดตั้ง app ภายนอกครับ
ยกตัวอย่างเช่น คุณไป download apk file มา แล้วจะกดติดตั้งดื้อ ๆ ไม่ได้ มันจะเด้งไปหน้าที่คุณต้องไปยืนยัน และให้สิทธิ์โปรแกรม file(explorer) ในการติดตั้ง app ภายนอก

ดังนั้น คนทั่ว ๆ ไป อยากจะติดตั้ง ก็ทำเองไม่ได้ง่าย ๆ
แต่ถ้าคุณปล่อยให้เค้ามาควบคุมเครื่องคุณได้ อันนั้นอะไร ๆ ก็เป็นไปได้

By: adente
ContributorSUSESymbianWindows
on 20 September 2022 - 17:44 #1262531 Reply to:1262528
adente's picture

คนไม่มีความรู้ก็หลอกง่ายครับ ระหว่างคุยสายก็เร่งให้เหยื่อกดๆยอมรับๆ ไปไม่งั้นไม่ผ่าน แบบนี้ก็เสร็จแล้ว

By: specimen
Windows PhoneAndroid
on 20 September 2022 - 22:11 #1262553 Reply to:1262531
specimen's picture

อันนี้มันไม่ได้เป็น pop up ให้คุณกดยอมรับนะครับ

คุณต้องเข้าไปกดแล้วก็เลือกหารายชื่อโปรแกรมที่คุณจะให้สิทธิ์อนุญาตแล้วถึงจะให้อนุญาตได้

มันไม่ได้ทำง่ายอย่างนั้นครับ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 20 September 2022 - 22:23 #1262556 Reply to:1262553
lew's picture

Android เวอร์ชั่นเก่ากดง่ายกว่านั้นครับ การจำกัดสิทธิ์ Accessibility เริ่มใน Android 13 ขึ้นไป โทรศัพท์ที่ได้ยังน้อยมากๆ


lewcpe.com, @wasonliw

By: nubugio
iPhoneAndroidWindows
on 20 September 2022 - 15:38 #1262513

สงสัยปลดล็อคแอพธนาคาร PIN Code ไม่ผิดจนโดนล็อคได้ยังไง

By: akira on 20 September 2022 - 16:32 #1262522

"เปิดหน้าจอทับแอปพลิเคชั่นอื่นๆ, และเข้าถึงฟีเจอร์ Accessibility ที่ควบคุมหน้าจอได้สมบูรณ์" => ผมเดานะ ไม่ Remote เข้ามาแล้วจับภาพส่งกลับไป ก็ใช้วิธีปลอมหน้าจอ PIN Code เวลาตรวจจับได้ว่ากำลังเข้า App ธนาคาร เช่น พอหลอกให้ติดตั้งเสร็จ App พร้อมแล้ว ก็หลอกให้เข้า App ธนาคารต่อ จากนั้นก็เริ่มกระบวนการจับภาพ หรือปลอมหน้าจอ PIN Code เพราะตัว PIN Code เวลาเรากด มันจะขึ้นเป็นแถบขึ้นมาเป็นเวลาสั้นๆ ว่าเรากดเลขอะไร ถ้า Remote ได้ก็เห็นแหล่ะว่ากดอะไร แต่เท่าที่ผมจำได้เวลา Remote เข้ามา พวกนี้จะถูกบังไว้นะ ไม่แน่ใจเหมือนกันว่ามันเปิดสิทธิให้แสดงได้หรือเปล่า

By: sum0 on 20 September 2022 - 16:36 #1262523

คงต้องทำแบบธนาคารจีน ICBC ที่ไทย ที่ต้องใช้ Hardware Token