Clear
Lead Graphic Papers

ระวังภัย พบแอปพลิเคชันปลอมของธนาคารในประเทศไทยใน Google Play Store

วันที่ประกาศ: 27 มีนาคม 2557
ปรับปรุงล่าสุด: 27 มีนาคม 2557
เรื่อง: ระวังภัย พบแอปพลิเคชันปลอมของธนาคารในประเทศไทยใน Google Play Store

ประเภทภัยคุกคาม: Fraud

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

เมื่อวันที่ 26 มีนาคม 2557 ไทยเซิร์ตพบว่าใน Twitter ของธนาคารไทยพาณิชย์ มีการแจ้งเตือนแอปพลิเคชันปลอม ที่พยายามทำให้เข้าใจว่าเป็นแอปพลิเคชันของธนาคารไทยพาณิชย์ ปรากฎอยู่ใน Google Play Store [1] ดังรูปที่ 1


รูปที่ 1 ประกาศใน Twitter ของธนาคารไทยพาณิชย์

จากการตรวจสอบเพิ่มเติม พบว่าแอปพลิเคชันปลอมดังกล่าวถูกสร้างโดยนักพัฒนาที่ใช้ชื่อว่า SCIENTIFIKA MEDIA โดยถูกนำขึ้น Google Play Store เมื่อวันที่ 25 มีนาคม และยังพบว่า ผู้พัฒนารายนี้ ได้มีการพัฒนาแอปพลิเคชันปลอมของธนาคารไทยรวม 5 แห่งคือ ธนาคารกรุงไทย, ธนาคารกรุงเทพ, ธนาคารไทยพาณิชย์, ธนาคารกรุงศรีอยุธยา, ธนาคารธนชาต รวมถึงแอปพลิเคชันปลอมของธนาคารอื่นๆ ในต่างประเทศด้วยอีกจำนวนหนึ่ง ดังรูปที่ 2 และ 3


รูปที่ 2 แสดงรายการแอปพลิเคชันปลอมของธนาคารไทยบน Google Play Store

รูปที่ 3 ตัวอย่างรายการแอปพลิเคชันที่พัฒนาโดย SCIENTIFIKA MEDIA ใน Description ของแอปพลิเคชันปลอม พบว่ามีการระบุว่าเป็นแอปพลิเคชันสำหรับแสดงผลหน้าเว็บไซต์ของทางธนาคาร ตามรูปที่ 4


รูปที่ 4 แสดง Description ของแอปพลิเคชัน

เมื่อเรียกใช้งานแอปพลิเคชันปลอม จะพบหน้าจอให้ใส่รหัสผ่านสำหรับเข้าใช้งานบัญชีธนาคารออนไลน์ โดยมีโฆษณาปรากฏอยู่ด้านล่าง ดังรูปที่ 5


รูปที่ 5 แสดงตัวอย่างหน้าหลักของแอปพลิเคชันปลอม

ในกรณีที่โทรศัพท์มือถือหรือแท็บเล็ตไม่ได้เชื่อมต่อกับอินเทอร์เน็ต เมื่อเปิดแอปพลิเคชันดังกล่าวจะพบกับข้อความระบุว่าไม่สามารถเข้าถึงเว็บไซต์ของธนาคารได้ โดยมีลักษณะคล้ายคลึงกับเมื่อเปิดเว็บไซต์บน Web browser ซึ่ง URL ที่ไม่สามารถเข้าถึงได้นั้นเป็นของเว็บไซต์ธนาคารจริง ดังรูปที่ 6


รูปที่ 6 แสดงตัวอย่างหน้าหลักของแอปพลิเคชันปลอม ในกรณีที่ไม่ได้เชื่อมต่อกับอินเทอร์เน็ต

และจากการตรวจสอบ Permission ที่แอปพลิเคชันร้องขอ พบว่าทั้ง 5 แอปพลิเคชันต้องการสิทธิ์ในการเชื่อมต่ออินเทอร์เน็ตและแสดงผล Ads เท่านั้น ดังรูปที่ 7


รูปที่ 7 แสดงข้อมูล Permission ที่แอปพลิเคชันร้องขอ

เมื่อดูในโค้ดของโปรแกรม พบว่ามีการทำงานหลักๆ อยู่เพียง 2 อย่าง คือใช้ WebView แสดงผลหน้า Login ของธนาคาร และติดต่อกับ Google Ads เพื่อแสดงโฆษณา โดยยังไม่พบโค้ดที่เป็นการดักขโมยข้อมูลหรือโค้ดที่น่าสงสัยว่าเป็นพฤติกรรมประสงค์ร้าย และจากการวิเคราะห์โค้ดของแอปพลิเคชันปลอมทั้ง 5 ตัว พบว่ามีลักษณะคล้ายคลึงกัน ต่างกันที่ไอคอนและเว็บไซต์ที่แสดงผลในหน้า WebView เท่านั้น และจากการตรวจสอบการรับส่งข้อมูลโดยใช้โปรแกรม Wireshark ไม่พบว่ามีการดักขโมยข้อมูลส่งไปให้ผู้ไม่หวังดี

ผลกระทบ

แอปพลิเคชันปลอมกลุ่มนี้เป็นลักษณะของ Web browser ที่เปิดไปยังหน้า Internet banking ของแต่ละธนาคารโดยตรง พร้อมทั้งมีการแสดงโฆษณาเพื่อหารายได้ให้กับผู้พัฒนาเท่านั้น โดยยังไม่พบว่ามีพฤติกรรมประสงค์ร้ายในขณะนี้ อย่างไรก็ตาม การใช้งานแอปพลิเคชันลักษณะนี้ในการทำธุรกรรมออนไลน์ถือว่ามีความเสี่ยง เนื่องจากผู้ใช้ไม่สามารถทราบได้ว่าแอปพลิเคชันที่ใช้งานอยู่นั้นมีการขโมยข้อมูลหรือไม่ หรือในอนาคต แอปพลิเคชันที่ในขณะนี้ไม่มีพฤติกรรมประสงค์ร้าย จะมีการอัพเดทตัวเองเพื่อให้มีความสามารถอื่นๆ ที่เป็นอันตรายเพิ่มขึ้นหรือไม่ ผู้ใช้งานจึงควรทำธุรกรรมออนไลน์ ผ่านทางแอปพลิเคชันที่เป็นทางการของธนาคารเท่านั้น

ข้อแนะนำเบื้องต้นในการตรวจสอบแอปพลิเคชันที่น่าสงสัย

  • ตรวจสอบจากชื่อ Developer โดยแอปพลิเคชันที่มาจากธนาคารส่วนใหญ่ที่ใช้ชื่อธนาคาร โดยมีรายการชื่อ Developer ดังต่อไปนี้
    • ธนาคารกรุงไทย: Krung Thai Bank PCL.
    • ธนาคารกรุงเทพ: Bangkok Bank PCL
    • ธนาคารไทยพาณิชย์: Siam Commercial Bank PCL.
    • ธนาคารกรุงศรีอยุธยา: Bank of Ayudhya Public Company Limited
    • ธนาคารธนชาต: 2Fellows Network and Design co.,ltd และ Thanachart Bank Plc.
  • ให้ตรวจสอบจากจำนวนดาวน์โหลด และรีวิวของผู้ใช้งาน โดยสังเกตแอปพลิเคชันที่มียอดดาวน์โหลดที่ต่ำหรือรีวิวของผู้ใช้งานที่แจ้งถึงความผิดปกติ
  • ให้ตรวจสอบจากธนาคาร โดยอาจเข้าไปดูรายละเอียดของแอปพลิเคชันจากเว็บไซต์ของธนาคาร หรือสอบถามจากธนาคารโดยตรง

หากผู้ใช้งานพบแอปพลิเคชันปลอมในลักษณะนี้ หรือแอปพลิเคชันที่มีลักษณะน่าสงสัย หรือเป็นอันตราย สามารถแจ้ง Google เพื่อตรวจสอบและดำเนินการได้ โดยใช้แอปพลิเคชัน Play Store ใน Android เข้าไปที่หน้าแอปพลิเคชันนั้น เลือกคำสั่ง Flag as inappropriate พร้อมระบุเหตุผล แล้วกด Submit เพื่อส่งข้อมูลใน Google พิจารณา [2]

อ้างอิง

  1. https://twitter.com/scb_thailand/status/448787719846522880
  2. https://support.google.com/googleplay/answer/2479847?hl=en
Clear