ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) แจ้งเตือนผู้ใช้งานระบบปฏิบัติการ Android ในการดาวน์โหลดและติดตั้งแอปพลิเคชัน
เนื่องจากตรวจพบมัลแวร์สายพันธุ์ใหม่ชื่อ “BeatBanker” ซึ่งกำลังแพร่กระจายโดยปลอมแปลงเป็นแอปพลิเคชันอินเทอร์เน็ตผ่านดาวเทียม Starlink
มักจะมาในรูปแบบโฆษณาบนเว็บ, ลิงก์ใน SMS หรือกลุ่ม LINE ชวนให้กดโหลดไฟล์ชื่อแปลกๆ (ลงท้ายด้วย .apk) นอก Play Store[1]
1. รูปแบบและลักษณะการโจมตี (Attack Vector)
มัลแวร์ดังกล่าวมีลักษณะเป็นภัยคุกคามแบบผสมผสาน (Hybrid Threat) ดังนี้
1.1 มัลแวร์ทำการดักจับข้อมูลการเข้าสู่ระบบแอปพลิเคชันธนาคาร (Mobile Banking) รวมถึงดักอ่านรหัสผ่านใช้ครั้งเดียว (OTP) จากข้อความ SMS เพื่อนำไปกระทำการทุจริตธุรกรรมทางการเงิน
1.2 มัลแวร์สามารถสั่งการให้หน่วยประมวลผล (CPU) ทำงานอย่างหนักเพื่อขุดสกุลเงินดิจิทัล ส่งผลให้อุปกรณ์มีอุณหภูมิสูงขึ้น ประสิทธิภาพการทำงานลดลง และแบตเตอรี่เสื่อมสภาพก่อนกำหนด
2. สัญญาณเตือนว่าอุปกรณ์อาจถูกมัลแวร์โจมตี ได้แก่
2.1 อุปกรณ์มีอุณหภูมิสูงกว่าปกติอย่างต่อเนื่อง แม้ในขณะที่ไม่ได้ใช้งานหนัก
2.2 แบตเตอรี่มีอัตราการลดลงที่รวดเร็วผิดปกติ (Battery Drain)
2.3 ระบบปฏิบัติการทำงานล่าช้า มีอาการค้าง หรือแอปพลิเคชันปิดตัวลงเองบ่อยครั้ง
2.4 ปรากฏแอปพลิเคชันที่ไม่รู้จัก หรือมีหน้าต่าง Pop-up ขออนุมัติสิทธิ์ (Permissions) ซ้ำๆ โดยไม่มีสาเหตุ
3. มาตรการรับมือ (Incident Response)
3.1 ตัดการเชื่อมต่อเครือข่าย ปิดสัญญาณ Wi-Fi และข้อมูลมือถือทันที เพื่อระงับการรับส่งข้อมูลกับเครื่องแม่ข่ายของผู้ไม่หวังดี
3.2 ถอนการติดตั้งแอปพลิเคชัน ตรวจสอบและลบแอปพลิเคชันที่น่าสงสัย (หากลบไม่ได้ตามปกติ ให้ดำเนินการผ่านโหมดปลอดภัย หรือ Safe Mode)
3.3 ติดต่อธนาคารเจ้าของบัญชีทันทีเพื่อตรวจสอบความเคลื่อนไหว และพิจารณาอายัดบัญชีหรือเปลี่ยนรหัสผ่านหากจำเป็น
3.4 แจ้งผู้ดูแลระบบของหน่วยงาน(กรณีเครื่องใช้ในการปฏิบัติงาน) เพื่อป้องกันการแพร่กระจายเข้าสู่เครือข่ายหน่วยงาน
4. แนวทางปฏิบัติเพื่อการป้องกัน ดังนี้[2]
4.1 ติดตั้งแอปพลิเคชันจากแหล่งที่เชื่อถือได้ ดาวน์โหลดผ่าน Google Play Store เท่านั้น และหลีกเลี่ยงการติดตั้งไฟล์ประเภท .apk จากแหล่งภายนอกหรือลิงก์ส่งต่อ
4.2 ตรวจสอบสิทธิ์การเข้าถึง (Accessibility Service) ตรวจสอบที่เมนู Settings > Accessibility หากพบแอปพลิเคชันที่ไม่รู้จักได้รับสิทธิ์ ให้รีบทำการปิดสิทธิ์และถอนการติดตั้งทันที
4.3 เปิดใช้งาน Google Play Protect เพื่อให้ระบบทำการสแกนตรวจสอบแอปพลิเคชันที่เป็นอันตรายโดยอัตโนมัติ
4.4 หมั่นอัปเดตระบบปฏิบัติการและแอปพลิเคชันให้เป็นเวอร์ชันล่าสุดเพื่อปิดช่องโหว่ด้านความปลอดภัย
ขอให้ผู้ใช้งานเช็คการใช้งานอุปกรณ์ และติดตั้งแอปพลิเคชันจากแหล่งที่เชื่อถือได้เท่านั้น เพื่อลดความเสี่ยงจากภัยคุกคามทางไซเบอร์
อ้างอิง