ไม่ใช่แค่ลิงก์ TTC-CERT วิเคราะห์มัลแวร์ขโมยเงินมุ่งเป้าคนไทย พบเคยปลอมตัวเป็น DSI ก่อนหันมาปลอมเป็นสรรพากร

By lew Founder on Tag: Security, Android, Thailand
Security

เมื่อวานนี้มีข่าวถึงเจ้าของบัญชีถูกมิจฉาชีพหลอกส่งลิงก์ผ่าน LINE โดยอ้างว่าค้างภาษี โดยเนื้อข่าวจาก CH3Plus ระบุว่าเมื่อกดลิงก์ไปแล้วโทรศัพท์ค้าง และภายหลังเงินก็ถูกโอนออกจากบัญชีต่างๆ รวมกว่า 1.4 ล้านบาท แม้ว่าเราจะตรวจสอบไม่ได้แน่ชัดว่าคนร้ายในกรณีนี้โจมตีโทรศัพท์เหยื่อได้อย่างไรหากเหยื่อเพียงแค่กดลิงก์ในข้อความ แต่รายงานจากศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) ก็เคยวิเคราะห์มัลแวร์ที่รูปแบบใกล้เคียงกันอย่างมากเอาไว้

TTC-CERT ระบุว่าพบมัลแวร์ปลอมตัวเป็นหน่วยงานภาครัฐ โดยครั้งนี้ปลอมตัวเป็นกรมสรรพากร แล้วหลอกล่อเหยื่อผ่านโทรศัพท์หรือแอปแชต จากนั้นส่งลิงก์ให้เหยื่อเข้าเว็บปลอมที่ปลอมเหมือนเป็นเว็บกรมสรรพากร แต่มีลิงก์กดเพื่อดาวน์โหลดเพิ่มเข้ามา เมื่อกดแล้วจะพยายามติดตั้งแอปชื่อ Revenue ที่ภายในเป็น Android Remote Access Trojan (RAT) สามารถควบคุมเครื่องและอ่านข้อมูลได้อย่างกว้างขวาง

เมื่อเหยื่อติดตั้งแอปแล้ว มัลแวร์จะเก็บข้อมูลแอปธนาคารที่อยู่ในเครื่องส่งกลับไปยังเซิร์ฟเวอร์ควบคุม รวมถึงรหัสเข้าแอปธนาคาร โดยตัวมัลแวร์ขอสิทธิ์สำหรับการอ่านและส่ง SMS ในตัว, สามารถอ่านไฟล์ได้ทั้งหมด, เปิดหน้าจอทับแอปพลิเคชั่นอื่นๆ, และเข้าถึงฟีเจอร์ Accessibility ที่ควบคุมหน้าจอได้สมบูรณ์

ทาง TTC-CERT พบว่าเซิร์ฟเวอร์ควบคุมของกลุ่มนี้ เคยแสดงหน้าเว็บปลอมเป็นหน่วยงานอื่นๆ มาก่อนแล้ว ได้แก่ กระทรวงการคลัง, กองทุนเงินให้กู้ยืมเพื่อการศึกษา, ธนาคารออมสิน, ธนาคารอิสลามแห่งประเทศไทย, ธนาคารอาคารสงเคราะห์, กรมสรรพสามิต, สำนักงานสลากกินแบ่งรัฐบาล, กรมสอบสวนคดีพิเศษ

ปัญหาของการใช้ Accessibility API ทำให้แอปสามารถอ่านหน้าจอได้โดยผู้ใช้ไม่รู้ตัว และกลายเป็นช่องทางให้มัลแวร์ต่างๆ ขโมยข้อมูลจากผู้ใช้เป็นปัญหาที่กูเกิลรับรู้แล้ว และใน Android 13 กูเกิลก็พยายามจำกัดการใช้งาน เพื่อให้ผู้ใช้รู้ตัวว่ากำลังให้สิทธิ์ที่สำคัญมากกับแอป

ที่มา - TTC-CERT, รายงาน Android Remote Access Trojan (RAT)

ภาพหน้าจอเว็บกรมสรรพากรปลอม พร้อมลิงก์ให้ดาวน์โหลดแอป

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
 Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
 KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
 Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
 Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
 Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
 Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
 CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
 Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
 Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
 CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
 Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
 MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
 T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
 KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
 Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
 Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
 REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
 H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
 The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
 LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
 Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
 Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
 MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
 Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
 LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
 LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

tom789 Tue, 20/09/2022 - 12:44

พอเข้าใจอยุ่นะ น่ากลัว ทำได้ขนาดนี้เลย แต่ถ้าคนกดอ่านดีๆ ไม่ยอมอนุญาติให้เข้าถึง หรือมันสแกนนิ้ว สแกนหน้าก็น่าจะรอดนะ

lew Tue, 20/09/2022 - 13:19

โดยส่วนตัว ผมคิดว่าแบงค์ชาติควรบังคับให้ธนาคารมีช่องทางปลอดภัยพิเศษนะครับ ต้องยืนยันธุรกรรมด้วย hardware token อย่างน้อยก็สำหรับบัญชีมูลค่าสูง (หรือไม่จำกัดมูลค่าก็ได้ แค่เปิดทางให้คิดค่าฮาร์ดแวร์/บริการแยกออกไป)

rattananen Tue, 20/09/2022 - 13:51

มีมานานแล้วครับอะไรแบบนี้ ก่อนที่จะมี Iphone รุ่นแรก (Baidu PC faster, เหา, 555.in.th)
แต่ตอนนั้นคนยังไม่ใช้ Internet เยอะขนาดนี้

นี่ถ้า Edward Snowden ไม่แฉ NSA
จนทำให้ต้องเปลี่ยนมาเป็น HTTPS กัน คงหนักกว่านี้
ใช้ Man-in-the-middle attack กันเลย

Perl Tue, 20/09/2022 - 13:12

คือมีความรู้ในการใช้งาน Mobile Application
แต่ไม่มีความเข้าใจว่าองค์กรภาครัฐและธนาคาร ไม่มีการติดต่อสื่อสารหรือขอข้อมูลส่วนตัวใดๆ ทางโทรศัพท์

ทุกวันนี้แค่ Robot โทรมา มันยังไม่ทันได้พูด ผมก็วางสายไปแล้ว ขนาดติดตั้งแอพภาครัฐ ถึงแม้มาจาก App Store จริงๆ ผมยังแหยงเลย ใช้ Password ต่างจากปกติ เพราะระแวงไปว่าซักวันภาครัฐจะทำ Password เราแตกหลุดออกไปในที่สาธารณะ

deaknaew Tue, 20/09/2022 - 14:04

Android มันติดตั้ง trojan ง่ายไปรึเปล่า อย่างน้อยๆ เดี๋ยวนี้ pc มันก็ขึ้นเตือนไฟล์ มี virus นะ

lew Tue, 20/09/2022 - 14:19

ผมเช็คค่า hash sha256:
2318bba1688c66b3e223adb74d79f51714db089ef2a849114b64370d80c38f89 ในรายงานยังไม่มีใน virustotal คิดว่าตัวนี้มันเฉพาะกลุ่มไป เลยยัง detect ไม่ได้นะครับ (ต่อให้เอาไฟล์มาวางใน PC ก็น่าจะไม่โดยตรวจ virus อยู่ดี)

specimen Tue, 20/09/2022 - 17:24

จริง ๆ การติดตั้งไฟล์ใน android ไม่ได้ง่ายแบบนั้นนะครับ
ถ้าเป็นไฟล์ที่ติดตั้งโดยช่องทางที่ไม่ใช่วิธีปกติ คุณต้องไปอนุญาตให้ app ตัวนั้น มีสิทธิ์ติดตั้ง app ภายนอกครับ
ยกตัวอย่างเช่น คุณไป download apk file มา แล้วจะกดติดตั้งดื้อ ๆ ไม่ได้ มันจะเด้งไปหน้าที่คุณต้องไปยืนยัน และให้สิทธิ์โปรแกรม file(explorer) ในการติดตั้ง app ภายนอก

ดังนั้น คนทั่ว ๆ ไป อยากจะติดตั้ง ก็ทำเองไม่ได้ง่าย ๆ
แต่ถ้าคุณปล่อยให้เค้ามาควบคุมเครื่องคุณได้ อันนั้นอะไร ๆ ก็เป็นไปได้

adente Tue, 20/09/2022 - 17:44

คนไม่มีความรู้ก็หลอกง่ายครับ ระหว่างคุยสายก็เร่งให้เหยื่อกดๆยอมรับๆ ไปไม่งั้นไม่ผ่าน แบบนี้ก็เสร็จแล้ว

specimen Tue, 20/09/2022 - 22:11

อันนี้มันไม่ได้เป็น pop up ให้คุณกดยอมรับนะครับ

คุณต้องเข้าไปกดแล้วก็เลือกหารายชื่อโปรแกรมที่คุณจะให้สิทธิ์อนุญาตแล้วถึงจะให้อนุญาตได้

มันไม่ได้ทำง่ายอย่างนั้นครับ

akira Tue, 20/09/2022 - 16:32

"เปิดหน้าจอทับแอปพลิเคชั่นอื่นๆ, และเข้าถึงฟีเจอร์ Accessibility ที่ควบคุมหน้าจอได้สมบูรณ์" => ผมเดานะ ไม่ Remote เข้ามาแล้วจับภาพส่งกลับไป ก็ใช้วิธีปลอมหน้าจอ PIN Code เวลาตรวจจับได้ว่ากำลังเข้า App ธนาคาร เช่น พอหลอกให้ติดตั้งเสร็จ App พร้อมแล้ว ก็หลอกให้เข้า App ธนาคารต่อ จากนั้นก็เริ่มกระบวนการจับภาพ หรือปลอมหน้าจอ PIN Code เพราะตัว PIN Code เวลาเรากด มันจะขึ้นเป็นแถบขึ้นมาเป็นเวลาสั้นๆ ว่าเรากดเลขอะไร ถ้า Remote ได้ก็เห็นแหล่ะว่ากดอะไร แต่เท่าที่ผมจำได้เวลา Remote เข้ามา พวกนี้จะถูกบังไว้นะ ไม่แน่ใจเหมือนกันว่ามันเปิดสิทธิให้แสดงได้หรือเปล่า