โทรจันธนาคารตัวใหม่ใน Android เลียนแบบแอปอัปเดต Google Play

179/67 (IT) ประจำวันจันทร์ที่ 20 พฤษภาคม 2567

Cyble Research and Intelligence Labs (CRIL) ได้ตรวจพบโทรจันธนาคารตัวใหม่ซึ่งมุ่งเป้าไปที่อุปกรณ์ที่ใช้ระบบ Android โดยในรายงานที่เผยแพร่เมื่อวันที่ 16 พฤษภาคม ที่ผ่านมานั้น CRIL อธิบายถึงมัลแวร์ที่มีมีความซับซ้อนซึ่งรวมเอาฟีเจอร์ที่เป็นอันตรายหลายอย่าง รวมถึงการโจมตีแบบโอเวอร์เลย์ ความสามารถในการล็อกคีย์ และการทำให้สับสน โดยนักวิจัยเรียกโทรจันนี้ว่า “Antidot” ตามสตริงภายในซอร์สโค้ด โทรจัน Antidot จะปลอมตัวเป็นแอปพลิเคชันอัปเดต Google Play โดยแสดงหน้าอัปเดต Google Play ปลอมเมื่อทำการติดตั้ง นักวิจัยสังเกตว่าหน้าอัปเดตปลอมนี้ ถูกสร้างขึ้นในภาษาต่าง ๆ ทั้งภาษาเยอรมัน ฝรั่งเศส สเปน รัสเซีย โปรตุเกส โรมาเนีย และอังกฤษ สิ่งนี้ชี้ให้เห็นว่ามัลแวร์กำหนดเป้าหมายผู้ใช้ Android ในภูมิภาคต่าง ๆ โดยในหน้าอัปเดตปลอมนี้จะมี ปุ่ม “ดำเนินการต่อ” ที่จะเปลี่ยนเส้นทางผู้ใช้งานไปยังการตั้งค่าการเข้าถึงของอุปกรณ์ Android เมื่อผู้ใช้งานให้สิทธิ์การเข้าถึงบริการแล้ว มัลแวร์จะส่ง ping message แรกไปยังเซิร์ฟเวอร์พร้อมกับข้อมูลที่เข้ารหัส Base64 ซึ่งประกอบด้วยข้อมูลต่อไปนี้  ชื่อแอปพลิเคชันมัลแวร์ เวอร์ชันชุดพัฒนาซอฟต์แวร์ (SDK) รุ่นโทรศัพท์ ผู้ผลิตโทรศัพท์ ภาษาและรหัสประเทศ และรายการแพ็คเกจแอปพลิเคชันที่ติดตั้ง

หลังติดตั้งมัลแวร์แล้ว มัลแวร์จะเริ่มการสื่อสารกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ที่ “hxxp://46[.]228.205.159:5055/” นอกจากการเชื่อมต่อ HTTP แล้ว โทรจันยังสร้างการสื่อสาร WebSocket โดยใช้ไลบรารี socket.io ซึ่งเปิดใช้งานการสื่อสารสองทิศทางแบบเรียลไทม์ระหว่างเซิร์ฟเวอร์และไคลเอนต์  มัลแวร์จะรักษาการสื่อสารนี้ระหว่างเซิร์ฟเวอร์และไคลเอนต์ผ่านข้อความ “ping” และ “pong” เมื่อเซิร์ฟเวอร์สร้าง ID บอท แล้ว Antidot Banking Trojan จะส่งสถิติบอทไปยังเซิร์ฟเวอร์และรับคำสั่ง มัลแวร์ได้ใช้คำสั่งทั้งหมด 35 คำสั่ง รวมถึงการรวบรวมข้อความ SMS การเริ่มคำขอ USSD และแม้แต่การควบคุมคุณสมบัติของอุปกรณ์จากระยะไกล เช่น กล้อง และการล็อคหน้าจอ การบันทึกหน้าจอ Virtual Network Computing (VNC) การล็อคและการปลดล็อคอุปกรณ์

คำแนะนำบางส่วนในการบรรเทาภัยคุกคามนี้ ได้แก่:

1. ติดตั้งซอฟต์แวร์จาก App Store อย่างเป็นทางการเท่านั้น เช่น Google Play Store (โทรศัพท์ Android) หรือ Apple App Store (โทรศัพท์ iOS)

2.ใช้ซอฟต์แวร์ป้องกันไวรัสและความปลอดภัยทางอินเทอร์เน็ตที่ได้รับการยอมรับ

3. ใช้รหัสผ่านที่รัดกุมและใช้การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA)

4. โปรดใช้ความระมัดระวังในการเปิดลิงก์ที่ได้รับทาง SMS หรืออีเมลที่ส่งไปยังอุปกรณ์มือถือของคุณ    

5. ระวังการอนุญาตใด ๆ ที่มอบให้กับแอปพลิเคชัน และอัปเดตอุปกรณ์ ระบบปฏิบัติการ และแอปพลิเคชันให้ทันสมัยอยู่เสมอ

แหล่งข่าว https://www.infosecurity-magazine.com/news/android-banking-trojan-google-play/