เมื่อวานนี้มีข่าวถึงเจ้าของบัญชีถูกมิจฉาชีพหลอกส่งลิงก์ผ่าน LINE โดยอ้างว่าค้างภาษี โดยเนื้อข่าวจาก CH3Plus ระบุว่าเมื่อกดลิงก์ไปแล้วโทรศัพท์ค้าง และภายหลังเงินก็ถูกโอนออกจากบัญชีต่างๆ รวมกว่า 1.4 ล้านบาท แม้ว่าเราจะตรวจสอบไม่ได้แน่ชัดว่าคนร้ายในกรณีนี้โจมตีโทรศัพท์เหยื่อได้อย่างไรหากเหยื่อเพียงแค่กดลิงก์ในข้อความ แต่รายงานจากศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) ก็เคยวิเคราะห์มัลแวร์ที่รูปแบบใกล้เคียงกันอย่างมากเอาไว้
TTC-CERT ระบุว่าพบมัลแวร์ปลอมตัวเป็นหน่วยงานภาครัฐ โดยครั้งนี้ปลอมตัวเป็นกรมสรรพากร แล้วหลอกล่อเหยื่อผ่านโทรศัพท์หรือแอปแชต จากนั้นส่งลิงก์ให้เหยื่อเข้าเว็บปลอมที่ปลอมเหมือนเป็นเว็บกรมสรรพากร แต่มีลิงก์กดเพื่อดาวน์โหลดเพิ่มเข้ามา เมื่อกดแล้วจะพยายามติดตั้งแอปชื่อ Revenue ที่ภายในเป็น Android Remote Access Trojan (RAT) สามารถควบคุมเครื่องและอ่านข้อมูลได้อย่างกว้างขวาง
เมื่อเหยื่อติดตั้งแอปแล้ว มัลแวร์จะเก็บข้อมูลแอปธนาคารที่อยู่ในเครื่องส่งกลับไปยังเซิร์ฟเวอร์ควบคุม รวมถึงรหัสเข้าแอปธนาคาร โดยตัวมัลแวร์ขอสิทธิ์สำหรับการอ่านและส่ง SMS ในตัว, สามารถอ่านไฟล์ได้ทั้งหมด, เปิดหน้าจอทับแอปพลิเคชั่นอื่นๆ, และเข้าถึงฟีเจอร์ Accessibility ที่ควบคุมหน้าจอได้สมบูรณ์
ทาง TTC-CERT พบว่าเซิร์ฟเวอร์ควบคุมของกลุ่มนี้ เคยแสดงหน้าเว็บปลอมเป็นหน่วยงานอื่นๆ มาก่อนแล้ว ได้แก่ กระทรวงการคลัง, กองทุนเงินให้กู้ยืมเพื่อการศึกษา, ธนาคารออมสิน, ธนาคารอิสลามแห่งประเทศไทย, ธนาคารอาคารสงเคราะห์, กรมสรรพสามิต, สำนักงานสลากกินแบ่งรัฐบาล, กรมสอบสวนคดีพิเศษ
ปัญหาของการใช้ Accessibility API ทำให้แอปสามารถอ่านหน้าจอได้โดยผู้ใช้ไม่รู้ตัว และกลายเป็นช่องทางให้มัลแวร์ต่างๆ ขโมยข้อมูลจากผู้ใช้เป็นปัญหาที่กูเกิลรับรู้แล้ว และใน Android 13 กูเกิลก็พยายามจำกัดการใช้งาน เพื่อให้ผู้ใช้รู้ตัวว่ากำลังให้สิทธิ์ที่สำคัญมากกับแอป
ที่มา - TTC-CERT, รายงาน Android Remote Access Trojan (RAT)
ภาพหน้าจอเว็บกรมสรรพากรปลอม พร้อมลิงก์ให้ดาวน์โหลดแอป
Comments
พอเข้าใจอยุ่นะ น่ากลัว ทำได้ขนาดนี้เลย แต่ถ้าคนกดอ่านดีๆ ไม่ยอมอนุญาติให้เข้าถึง หรือมันสแกนนิ้ว สแกนหน้าก็น่าจะรอดนะ
โดยส่วนตัว ผมคิดว่าแบงค์ชาติควรบังคับให้ธนาคารมีช่องทางปลอดภัยพิเศษนะครับ ต้องยืนยันธุรกรรมด้วย hardware token อย่างน้อยก็สำหรับบัญชีมูลค่าสูง (หรือไม่จำกัดมูลค่าก็ได้ แค่เปิดทางให้คิดค่าฮาร์ดแวร์/บริการแยกออกไป)
lewcpe.com, @wasonliw
มีมานานแล้วครับอะไรแบบนี้ ก่อนที่จะมี Iphone รุ่นแรก (Baidu PC faster, เหา, 555.in.th)
แต่ตอนนั้นคนยังไม่ใช้ Internet เยอะขนาดนี้
นี่ถ้า Edward Snowden ไม่แฉ NSA
จนทำให้ต้องเปลี่ยนมาเป็น HTTPS กัน คงหนักกว่านี้
ใช้ Man-in-the-middle attack กันเลย
เจ้าของบัญชี
คือมีความรู้ในการใช้งาน Mobile Application
แต่ไม่มีความเข้าใจว่าองค์กรภาครัฐและธนาคาร ไม่มีการติดต่อสื่อสารหรือขอข้อมูลส่วนตัวใดๆ ทางโทรศัพท์
ทุกวันนี้แค่ Robot โทรมา มันยังไม่ทันได้พูด ผมก็วางสายไปแล้ว ขนาดติดตั้งแอพภาครัฐ ถึงแม้มาจาก App Store จริงๆ ผมยังแหยงเลย ใช้ Password ต่างจากปกติ เพราะระแวงไปว่าซักวันภาครัฐจะทำ Password เราแตกหลุดออกไปในที่สาธารณะ
ติดต่อภาครัชยังยาก นับประสาอะไรเขาจะติดต่อมาหาเรา 55555
The Dream hacker..
Android มันติดตั้ง trojan ง่ายไปรึเปล่า อย่างน้อยๆ เดี๋ยวนี้ pc มันก็ขึ้นเตือนไฟล์ มี virus นะ
ผมเช็คค่า hash sha256:
2318bba1688c66b3e223adb74d79f51714db089ef2a849114b64370d80c38f89 ในรายงานยังไม่มีใน virustotal คิดว่าตัวนี้มันเฉพาะกลุ่มไป เลยยัง detect ไม่ได้นะครับ (ต่อให้เอาไฟล์มาวางใน PC ก็น่าจะไม่โดยตรวจ virus อยู่ดี)
lewcpe.com, @wasonliw
จริง ๆ การติดตั้งไฟล์ใน android ไม่ได้ง่ายแบบนั้นนะครับ
ถ้าเป็นไฟล์ที่ติดตั้งโดยช่องทางที่ไม่ใช่วิธีปกติ คุณต้องไปอนุญาตให้ app ตัวนั้น มีสิทธิ์ติดตั้ง app ภายนอกครับ
ยกตัวอย่างเช่น คุณไป download apk file มา แล้วจะกดติดตั้งดื้อ ๆ ไม่ได้ มันจะเด้งไปหน้าที่คุณต้องไปยืนยัน และให้สิทธิ์โปรแกรม file(explorer) ในการติดตั้ง app ภายนอก
ดังนั้น คนทั่ว ๆ ไป อยากจะติดตั้ง ก็ทำเองไม่ได้ง่าย ๆ
แต่ถ้าคุณปล่อยให้เค้ามาควบคุมเครื่องคุณได้ อันนั้นอะไร ๆ ก็เป็นไปได้
คนไม่มีความรู้ก็หลอกง่ายครับ ระหว่างคุยสายก็เร่งให้เหยื่อกดๆยอมรับๆ ไปไม่งั้นไม่ผ่าน แบบนี้ก็เสร็จแล้ว
อันนี้มันไม่ได้เป็น pop up ให้คุณกดยอมรับนะครับ
คุณต้องเข้าไปกดแล้วก็เลือกหารายชื่อโปรแกรมที่คุณจะให้สิทธิ์อนุญาตแล้วถึงจะให้อนุญาตได้
มันไม่ได้ทำง่ายอย่างนั้นครับ
Android เวอร์ชั่นเก่ากดง่ายกว่านั้นครับ การจำกัดสิทธิ์ Accessibility เริ่มใน Android 13 ขึ้นไป โทรศัพท์ที่ได้ยังน้อยมากๆ
lewcpe.com, @wasonliw
สงสัยปลดล็อคแอพธนาคาร PIN Code ไม่ผิดจนโดนล็อคได้ยังไง
"เปิดหน้าจอทับแอปพลิเคชั่นอื่นๆ, และเข้าถึงฟีเจอร์ Accessibility ที่ควบคุมหน้าจอได้สมบูรณ์" => ผมเดานะ ไม่ Remote เข้ามาแล้วจับภาพส่งกลับไป ก็ใช้วิธีปลอมหน้าจอ PIN Code เวลาตรวจจับได้ว่ากำลังเข้า App ธนาคาร เช่น พอหลอกให้ติดตั้งเสร็จ App พร้อมแล้ว ก็หลอกให้เข้า App ธนาคารต่อ จากนั้นก็เริ่มกระบวนการจับภาพ หรือปลอมหน้าจอ PIN Code เพราะตัว PIN Code เวลาเรากด มันจะขึ้นเป็นแถบขึ้นมาเป็นเวลาสั้นๆ ว่าเรากดเลขอะไร ถ้า Remote ได้ก็เห็นแหล่ะว่ากดอะไร แต่เท่าที่ผมจำได้เวลา Remote เข้ามา พวกนี้จะถูกบังไว้นะ ไม่แน่ใจเหมือนกันว่ามันเปิดสิทธิให้แสดงได้หรือเปล่า
คงต้องทำแบบธนาคารจีน ICBC ที่ไทย ที่ต้องใช้ Hardware Token