ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์แห่งชาติ (ThaiCERT) ได้ติดตามข่าวสารภัยคุกคามทางไซเบอร์ พบมัลแวร์บนระบบปฏิบัติการ Android ซึ่งถูกใช้ในการสมัครบริการ Premium SMS หรือบริการเรียกเก็บเงินผ่านผู้ให้บริการเครือข่ายโทรศัพท์เคลื่อนที่ (Carrier Billing) โดยไม่ได้รับความยินยอมจากผู้ใช้งาน ส่งผลให้ผู้เสียหายอาจถูกเรียกเก็บค่าบริการโดยไม่ทราบสาเหตุ รวมถึงเสี่ยงต่อการถูกเข้าถึงข้อมูลอุปกรณ์ รหัสยืนยัน และข้อมูลที่เกี่ยวข้องกับธุรกรรมบนอุปกรณ์ Android
1. รายละเอียด
บริษัทด้านความมั่นคงปลอดภัยไซเบอร์ Zimperium zLabs ตรวจพบแคมเปญมัลแวร์บนระบบปฏิบัติการ Android ที่ดำเนินการต่อเนื่องเป็นระยะเวลาประมาณ 10 เดือน โดยพบแอปพลิเคชันอันตรายเกือบ 250 รายการ ซึ่งปลอมตัวเป็นแอปพลิเคชันสื่อสังคมออนไลน์ยอดนิยม เช่น Facebook Messenger, Instagram Threads และ TikTok รวมถึงเกมออนไลน์ เช่น Minecraft และ Grand Theft Auto เพื่อหลอกล่อให้ผู้ใช้งานติดตั้งลงบนอุปกรณ์ Android
หลังจากติดตั้งแล้ว มัลแวร์จะดำเนินการสมัครบริการ Premium SMS หรือบริการที่มีการเรียกเก็บค่าบริการเพิ่มเติมโดยอัตโนมัติ รวมถึงพยายามดักรับรหัสยืนยัน เช่น OTP หรือ TAC ผ่านการใช้ฟังก์ชันของ Android API เพื่อยืนยันการสมัครบริการหรือธุรกรรมต่าง ๆ โดยที่ผู้ใช้งานไม่ทราบหรือไม่ได้ให้ความยินยอม ส่งผลให้ผู้เสียหายอาจถูกเรียกเก็บค่าบริการโดยไม่ทราบสาเหตุ และอาจเพิ่มความเสี่ยงต่อการถูกเข้าถึงข้อมูลสำคัญบนอุปกรณ์
2. รูปแบบการโจมตี
ผู้โจมตีใช้เทคนิค Social Engineering หลอกให้ผู้ใช้งานดาวน์โหลดไฟล์ APK จากแหล่งภายนอกหรือเว็บไซต์ปลอมที่แอบอ้างเป็นแอปพลิเคชันยอดนิยม จากนั้นมัลแวร์จะดำเนินการดังนี้
2.1 ตรวจสอบ SIM Card และเครือข่ายโทรศัพท์ของอุปกรณ์ เพื่อคัดเลือกเหยื่อที่อยู่ในกลุ่มเป้าหมาย
2.2 ปิดการเชื่อมต่อ Wi-Fi เพื่อบังคับให้อุปกรณ์ใช้งานเครือข่ายโทรศัพท์มือถือ สำหรับใช้ในกระบวนการเรียกเก็บค่าบริการผ่านผู้ให้บริการเครือข่าย
2.3 เปิด Hidden WebView และใช้ JavaScript Automation เพื่อกดสมัครบริการหรือดำเนินการบนหน้าเว็บโดยอัตโนมัติ
2.4 ดักรับ SMS, OTP หรือ TAC ผ่านการใช้ Android API เพื่อใช้ยืนยันการสมัครบริการหรือธุรกรรมที่เกี่ยวข้อง
2.5 ส่ง SMS ไปยังหมายเลข Short Code เพื่อสมัครบริการ Premium SMS หรือบริการที่มีค่าใช้จ่ายเพิ่มเติม
2.6 ส่งข้อมูลอุปกรณ์ สถานะการติดตั้ง การให้สิทธิ์ และผลการดำเนินการกลับไปยังเซิร์ฟเวอร์ควบคุม (Command and Control: C2) รวมถึงช่องทาง Telegram Bot API ของผู้โจมตี
นอกจากนี้ ยังพบการใช้เทคนิคหลบเลี่ยงการตรวจจับ เช่น การหน่วงเวลาการส่ง SMS การซ่อนพฤติกรรมที่เป็นอันตราย และการแสดงหน้าเว็บปกติเพื่อลดความสงสัยของผู้ใช้งาน
3. แนวทางการแก้ไข
3.1 อนุญาตให้ติดตั้งแอปพลิเคชันจากแหล่งที่เชื่อถือได้เท่านั้น เช่น Google Play Store
3.2 หลีกเลี่ยงการติดตั้งไฟล์ APK จากเว็บไซต์ภายนอกหรือจากลิงก์ที่ไม่ทราบแหล่งที่มา
3.3 ตรวจสอบสิทธิ์ (Permissions) ของแอปพลิเคชันก่อนติดตั้ง โดยเฉพาะสิทธิ์การเข้าถึง SMS, Accessibility Service และการอ่านการแจ้งเตือน
3.4 อัปเดตระบบปฏิบัติการ Android และแอปพลิเคชันให้เป็นเวอร์ชันล่าสุดอย่างสม่ำเสมอ
3.5 ติดตั้งและใช้งาน Mobile Security หรือ Endpoint Protection ที่สามารถตรวจจับ Mobile Malware ได้
3.6 ตรวจสอบค่าบริการโทรศัพท์ย้อนหลัง หากพบรายการเรียกเก็บเงินผิดปกติให้ติดต่อผู้ให้บริการเครือข่ายทันที
4. คำแนะนำด้านความปลอดภัยเพิ่มเติม
4.1 เฝ้าระวังการเผยแพร่ APK ผ่าน Social Media, Messaging Platform หรือเว็บไซต์ดาวน์โหลดที่ไม่น่าเชื่อถือ
4.2 ให้ความรู้ผู้ใช้งานเกี่ยวกับภัยคุกคาม Mobile Malware และการหลอกลวงผ่านแอปพลิเคชันปลอม
4.3 เปิดใช้งาน Google Play Protect บนอุปกรณ์ Android เพื่อช่วยตรวจจับแอปพลิเคชันที่เป็นอันตราย
4.4 หลีกเลี่ยงการให้สิทธิ์ Accessibility Service กับแอปพลิเคชันที่ไม่จำเป็น
4.5 ประยุกต์ใช้นโยบาย Mobile Device Management (MDM) เพื่อควบคุมการติดตั้งแอปพลิเคชันบนอุปกรณ์เคลื่อนที่
แหล่งอ้างอิง