Clear
Lead Graphic Papers

ระวังภัย แอปธนาคารปลอมบนแอนดรอยด์

วันที่ประกาศ: 22 พฤษภาคม 2557
ปรับปรุงล่าสุด: 23 พฤษภาคม 2557
เรื่อง: ระวังภัย แอปธนาคารปลอมบนแอนดรอยด์

ประเภทภัยคุกคาม: Fraud

Share on Facebook Share on Twitter Share on Google+

เมื่อวันที่ 21 พฤษภาคม 2557 ไทยเซิร์ตได้รับรายงานว่า พบแอปพลิเคชันปลอมของธนาคารในประเทศไทยบนระบบปฎิบัติการ Android ที่พยายามทำให้เข้าใจว่าเป็นแอปพลิเคชันของธนาคารไทยพาณิชย์และธนาคารกสิกรไทยเผยแพร่อยู่ที่เว็บไซต์ downloads.applications.customersecurity.user-3729.com ซึ่งเมื่อตรวจสอบแล้วพบว่าตั้งอยู่ในประเทศออสเตรีย ดังรูปที่ 1 แอปพลิเคชันดังกล่าว เมื่อติดตั้งในเครื่องโทรศัพท์ จะปรากฏหน้าจอดังรูปที่ 2


รูปที่ 1 แสดงการทำ DNS Lookup และ Whois ของเว็บไซต์ที่เผยแพร่มัลแวร์


รูปที่ 2 ตัวอย่างหน้าจอแอปพลิเคชันปลอม

จากการตรวจสอบ พบว่าแอปพลิเคชันทั้งสองแอปพลิเคชัน มีหน้าจอที่พยายามแสดงให้ผู้ใช้งานเข้าใจว่า เป็นแอปพลิเคชั่นที่สามารถสร้างรหัสผ่านโอทีพี (OTP - One Time Password) สำหรับล็อกอินบริการธนาคารทางอินเทอร์เน็ต


รูปที่ 3 สิทธิ (Permission) ที่แอปพลิเคชันสามารถเข้าถึงได้

จากการตรวจสอบสิทธิ (Permission) ที่แอปพลิเคชันร้องขอ พบว่าแอปพลิเคชันดังกล่าวต้องในการรับและส่ง SMS รวมถึงความสามารถในการเชื่อมต่อกับอินเทอร์เน็ตดังรูปที่ 3


รูปที่ 4 แสดงการส่ง SMS ไปยังหมายเลข +79255419513


รูปที่ 5 แสดงการทำ DNS Lookup เพื่อจะเชื่อมต่อไปยัง funnygnommi.com

เมื่อนำแอปพลิเคชันดังกล่าวไปตรวจสอบกับบริการ Anubis [1] พบว่ามีการพยายามส่งข้อมูลบางอย่างผ่าน SMS ไปยังหมายเลขโทรศัพท์ที่อยู่ในประเทศรัสเซีย (+79255419513) และมีพฤติกรรมที่จะพยายามเชื่อมต่อไปยัง funnygnommi.com ดังรูปที่ 4 และ 5 ซึ่งจากการตรวจสอบพบว่าเว็บเซิร์ฟเวอร์ตั้งอยู่ที่ประเทศรัสเซียและยูเครน

ผลกระทบ

ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวอาจถูกขโมยข้อมูลสำคัญจาก SMS เช่น ข้อมูลรหัสผ่านโอทีพี สำหรับเข้าทำธุรกรรมทางอิเล็กทรอนิกส์ โดยข้อมูลดังกล่าวอาจถูกนำไปใช้โดยผู้ไม่ประสงค์ดีและนำไปสู่การขโมยเงินจากบัญชีธนาคารภายหลังได้

ข้อแนะนำในการป้องกันและแก้ไข

ผู้ใช้งานควรติดตั้งแอปพลิเคชันจากแหล่งที่น่าเชื่อถือเท่านั้น เช่น Google Play Store แต่อย่างไรก็ตามสำหรับแอปพลิเคชันที่เกี่ยวกับธุรกรรมการเงิน แม้จะเป็นแอปพลิเคชันที่อยู่ใน Google Play Store ก็ตาม ควรเพิ่มความระมัดระวังเป็นพิเศษ เนื่องเคยมีการพบแอปพลิเคชันปลอมของธนาคารในประเทศไทยใน Google Play Store เมื่อเดือนมีนาคม [2] มาแล้ว ดังนั้น ผู้ใช้อาจตรวจสอบแอปพลิเคชันที่น่าสงสัยได้โดยวิธีการดังต่อไปนี้

  • ตรวจสอบจากชื่อ Developer โดยแอปพลิเคชันที่มาจากธนาคารส่วนใหญ่ที่ใช้ชื่อธนาคาร โดยมีรายการชื่อ Developer ดังต่อไปนี้
    • ธนาคารกรุงไทย: Krung Thai Bank PCL.
    • ธนาคารกรุงเทพ: Bangkok Bank PCL
    • ธนาคารไทยพาณิชย์: Siam Commercial Bank PCL.
    • ธนาคารกรุงศรีอยุธยา: Bank of Ayudhya Public Company Limited
    • ธนาคารธนชาต: 2Fellows Network and Design co.,ltd และ Thanachart Bank Plc.
  • ตรวจสอบจากจำนวนดาวน์โหลด และรีวิวของผู้ใช้งาน โดยสังเกตแอปพลิเคชันที่มียอดดาวน์โหลดที่ต่ำหรือรีวิวของผู้ใช้งานที่แจ้งถึงความผิดปกติ
  • ตรวจสอบจากธนาคาร โดยอาจเข้าไปดูรายละเอียดของแอปพลิเคชันจากเว็บไซต์ของธนาคาร หรือสอบถามจากธนาคารโดยตรง
  • ตรวจสอบการร้องขอสิทธิ (Permission) ของแอปพลิเคชัน ว่ามีความเหมาะสมหรือไม่ เช่นแอปพลิเคชันที่มีการขอสิทธิ์ในการส่ง SMS ควรทราบว่ามีการส่งไปที่ใด เพื่อจุดประสงค์อะไร

นอกจากนี้ผู้ใช้งานสามารถศึกษาบทความที่ไทยเซิร์ตได้เคยเผยแพร่ ถึงวิธีการตรวจสอบและป้องกันปัญหามัลแวร์ รวมถึงวิธีการใช้งานโทรศัพท์มือถือให้ปลอดภัย จากบทความดังต่อไปนี้

  • แนวทางการใช้งานโทรศัพท์มือถือให้ปลอดภัยจากภัยคุกคาม [3]
  • รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android [4]
  • รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android ตอนที่ 2 [5]

สำหรับผู้ดูแลระบบ ในขณะนี้อาจทำการปิดกั้นการเชื่อมต่อไปยังเว็บไซต์ downloads.applications.customersecurity.user-3729.com เป็นการชั่วคราว เพื่อป้องกันไม่ให้ผู้ใช้งานเข้าไปดาวน์โหลดแอปพลิเคชั่นปลอมนี้ และส่งผลให้ผู้ไม่หวังดีสามารถขโมยข้อมูลของผู้ใช้งานได้

อ้างอิง

  1. http://anubis.iseclab.org/?action=result&task_id=147b6b3a6d09692c49976adc25a7e7145&format=html
  2. https://www.thaicert.or.th/alerts/user/2014/al2014us008.html
  3. http://www.thaicert.or.th/papers/general/2011/pa2011ge010.html
  4. http://www.thaicert.or.th/papers/technical/2012/pa2012te003.html
  5. http://www.thaicert.or.th/papers/technical/2012/pa2012te011.html
Clear