Blockdit Logo (Mobile)
BAYCOMS
13 ส.ค. เวลา 12:00 • วิทยาศาสตร์ & เทคโนโลยี

พบแอปธนาคารปลอมในอินเดีย มุ่งเป้าขโมยข้อมูลล็อกอินผู้ใช้ Android

ในช่วงหลายปีที่ผ่านมา เราเห็นวิวัฒนาการของภัยคุกคามทางไซเบอร์บนอุปกรณ์เคลื่อนที่อย่างต่อเนื่อง โดยเฉพาะมัลแวร์ที่พุ่งเป้าโจมตีผู้ใช้บริการทางการเงินผ่านแอปธนาคารบน Android โดยล่าสุดได้ค้นพบมัลแวร์ตัวหนึ่งที่ปลอมตัวเป็นแอปธนาคารอินเดีย ซึ่งออกแบบมาอย่างแนบเนียนเพื่อขโมยข้อมูลประจำตัว การยืนยันตัวตน และควบคุมอุปกรณ์ของเหยื่อจากระยะไกล
โครงสร้างของมัลแวร์
มัลแวร์นี้ใช้สถาปัตยกรรมแบบโมดูลาร์ (Modular) แบ่งเป็น 2 ส่วนหลัก คือ
- Dropper (ตัวติดตั้ง) นี่คือมัลแวร์ด่านหน้า ทำหน้าที่เป็น "หน่วยสอดแนม" ที่แทรกซึมเข้าสู่เครื่องของเหยื่อเป็นอันดับแรก มันจะปลอมตัวเป็นแอปพลิเคชันที่ดูน่าเชื่อถือ หรือหลอกล่อผ่านป๊อปอัป "อัปเดตระบบ" ปลอม เพื่อให้ผู้ใช้มอบสิทธิ์ที่อันตรายที่สุดอย่างหนึ่งคือ ‘การติดตั้งแอปที่ไม่รู้จัก (Install Unknown Apps) เมื่อได้รับสิทธิ์แล้ว ภารกิจของมันคือ การปล่อยและติดตั้งมัลแวร์ตัวที่สองอย่างเงียบๆ อยู่เบื้องหลัง
- Payload (ตัวหลักที่ทำงานอันตราย) หลังจากถูกติดตั้งแล้ว "โจรตัวจริง" ก็จะเริ่มทำงาน มันถูกออกแบบมาให้ไร้ร่องรอย โดยจะซ่อนตัวเองจากหน้าจอ เปิดแอป (App Launcher) ทำให้ไม่มีไอคอนปรากฏขึ้นมาให้ผู้ใช้เห็นหรือลบออกได้ จากนั้นจะเริ่มภารกิจเก็บเกี่ยวข้อมูลทันที
กลยุทธ์การขโมยข้อมูลที่แยบยล มากกว่าแค่ Phishing
Payload หลักไม่ได้รอให้ผู้ใช้เปิดแอปธนาคาร แต่จะทำงานเชิงรุกเพื่อขโมยข้อมูลสำคัญผ่านวิธีการต่างๆ
- การดักจับ SMS และข้ามผ่าน 2FA: ด้วยสิทธิ์ในการอ่าน, การรับ และส่ง SMS (READ/RECEIVE_SMS) ทำให้มัลแวร์สามารถดักจับรหัสผ่านใช้ครั้งเดียว (OTP) และรหัสยืนยันตัวตนสองปัจจัย (2FA) ที่ธนาคารส่งมาได้แบบเรียลไทม์ นี่คือความสามารถที่อันตรายที่สุด เพราะมันทำให้เกราะป้องกันที่แข็งแกร่งที่สุดของการทำธุรกรรมออนไลน์ถูกทำลายลง
- การเก็บเกี่ยวข้อมูลบัตรและบัญชี: มัลแวร์จะแสดงหน้าล็อกอินและหน้ากรอกข้อมูลบัตรเครดิต/เดบิตปลอม ที่สร้างเลียนแบบแอปธนาคารจริงได้อย่างแนบเนียน ซึ่งมีความสามารถในการตรวจสอบความถูกต้องของข้อมูลที่กรอก (เช่น CVV 3 หลัก, หมายเลขบัตร 19 หลัก, PIN 4 หลัก) เพื่อเพิ่มความน่าเชื่อถือและลดโอกาสที่ผู้ใช้จะสงสัย
- การสอดแนมและควบคุมเครื่อง: นอกจากการขโมยข้อมูลทางการเงินแล้ว ยังขอสิทธิ์ในการอ่านข้อมูลซิม, หมายเลขโทรศัพท์ และสถานะของเครื่อง (READ_PHONE_STATE) เพื่อสร้างลายนิ้วมือดิจิทัลของอุปกรณ์ (Device Fingerprinting) ที่น่ากลัวไปกว่านั้นคือ มันสามารถใช้รหัส USSD เพื่อสั่ง "โอนสาย" (**21*หมายเลข#) การโทรเข้าทั้งหมดไปยังเบอร์ของแฮกเกอร์ได้ ซึ่งหมายความว่าหากธนาคารพยายามโทรแจ้งเตือนความผิดปกติ เหยื่อก็จะไม่ได้รับสายนั้นเลย
Firebase ศูนย์บัญชาการและควบคุม (C2) บนคลาวด์
มัลแวร์ตัวนี้ใช้บริการ Firebase ของ Google เป็นศูนย์บัญชาการและควบคุม (C2) ข้อมูลที่ขโมยมาได้ทั้งหมด (ข้อมูลล็อกอิน, รายละเอียดบัตร, เนื้อหา SMS) จะถูกส่งกลับไปเก็บไว้ที่ Firebase Realtime Database ในขณะเดียวกัน แฮกเกอร์ก็สามารถใช้ Firebase Cloud Messaging (FCM) เพื่อส่งคำสั่งใหม่ๆ กลับมายังเครื่องของเหยื่อได้แบบเรียลไทม์ เช่น สั่งให้โทรออก, ส่ง SMS หรือแสดงหน้าฟิชชิ่งเพิ่มเติม
ช่องทางการแพร่กระจายที่หลากหลาย
มัลแวร์ตัวนี้แพร่กระจายผ่านหลากหลายช่องทางที่หลายคนอาจคาดไม่ถึง เช่น
- SMS ฟิชชิ่ง (Smishing)
- อีเมลแนบ APK
- WhatsApp Bots
- โทรปลอมเป็นฝ่ายบริการลูกค้า (Vishing)
- เว็บไซต์ปลอมผ่าน SEO Poisoning
- โฆษณาแฝงมัลแวร์ (Malvertising)
- แอปยูทิลิตี้ปลอม (เช่น QR Scanner)
- อุปกรณ์ปลอมที่มาพร้อมมัลแวร์
การใช้ช่องโหว่ของ Android เช่น Accessibility Service และ CVE-2025-27363
ข้อเสนอแนะสำหรับองค์กรและผู้ใช้งานทั่วไป
จากการวิเคราะห์มัลแวร์ตัวนี้ สิ่งที่น่ากังวลที่สุดคือ ความสามารถในการแอบอ้างและทำงานโดยไม่มีการแจ้งเตือนผู้ใช้เลย ผู้ใช้งานทั่วไปไม่มีทางรู้เลยว่าแอปที่ตนติดตั้งไปกลับเป็นภัยร้ายที่ดูดข้อมูลทุกอย่างออกไปอย่างต่อเนื่อง เพื่อป้องกันไม่ให้ตกเป็นเหยื่อของภัยคุกคามรูปแบบนี้ ควรดำเนินมาตรการต่อไปนี้อย่างจริงจัง
- หลีกเลี่ยงการติดตั้งไฟล์ APK จากแหล่งที่ไม่น่าเชื่อถือ ไม่ว่าจะเป็นลิงก์ใน SMS, อีเมล หรือแม้แต่จากแอปแชท เนื่องจากมัลแวร์ส่วนใหญ่มักแฝงตัวมากับไฟล์เหล่านี้
- องค์กรควรมีขั้นตอนการตรวจสอบแอปก่อนติดตั้งอย่างเคร่งครัด โดยเฉพาะกับอุปกรณ์ที่ใช้ในงาน ซึ่งอาจรวมถึง Mobile Device Management (MDM), ระบบ Whitelist/Blacklist และ Sandbox Testing
- ติดตั้งระบบตรวจจับความผิดปกติ (Anomaly Detection) สำหรับตรวจสอบธุรกรรมทางการเงินที่ไม่ปกติ เช่น การโอนเงินในเวลาที่ไม่เคยเกิดขึ้น หรือจากอุปกรณ์ใหม่ที่ไม่คุ้นเคย
- พัฒนาระบบแจ้งเตือนแบบ Real-time ที่สามารถแจ้งเตือนเมื่อมีพฤติกรรมต้องสงสัย เช่น การขอสิทธิ์เข้าถึง SMS ซึ่งเป็นพฤติกรรมหลักของโทรจันประเภทนี้
นึกถึงเรื่องความปลอดภัยทางไซเบอร์ ไว้ใจ BAYCOMS  
Your Trusted Cybersecurity Partner
ติดต่อสอบถามหรือปรึกษาเราได้ที่ :  
Bay Computing Public Co., Ltd  
Tel: 02-115-9956  
Email: info@baycoms.com  
Website: www.baycoms.com  
#BAYCOMS #YourTrustedCybersecurityPartner #Cybersecurity
โฆษณา