นักวิจัยเผยมัลแวร์ TrickBot Banking พัฒนาใช้แอป Android ลัดผ่านการป้องกันด้วย OTP

TrickBot เป็นหนึ่งในมัลแวร์ที่มุ่งโจมตีบริการทางธนาคาร ซึ่งวันนี้ IBM X-Force ได้เปิดเผยถึงวิธีการใหม่ที่คนร้ายใช้เพื่อลัดผ่านการป้องกัน OTP ของธนาคารผ่านทางมือถือ

ไอเดียเริ่มต้นจากผู้ที่ติดมัลแวร์ TrickBot บนคอมพิวเตอร์ก่อน โดยหลังจากที่ไปฝังตัวในบราวน์เซอร์ได้ มัลแวร์ก็จะมีการดักจับการเข้าบริการธนาคาร จากนั้นมัลแวร์จะหลอกให้เหยื่อดาวน์โหลดแอปพลิเคชัน Android ที่อ้างตัวว่าเป็น Avast Antivirus หรือ Deutsche Bank Security Control ซึ่งแท้ที่จริงแล้วคือโทรจันที่ชื่อ IBM ตั้งชื่อให้ว่า TrickMo

TrickMo มีความสามารถหลายด้านโดยไอเดียก็คืออาศัยฟีเจอร์ Accessibility ของ Android ที่ออกแบบมาสำหรับผู้พิการ ทั้งนี้มัลแวร์สามารถ intecept ตัว Transaction Authentication Number (TANs) ที่ประกอบด้วย OTP, mobile TAN (mTAN) และ pushTAN ได้และส่งโค้ดที่ได้มากลับไปยังเซิร์ฟเวอร์ของคนร้าย

แต่ไม่เพียงเท่านั้นจากการวิเคราะห์ของผู้เชี่ยวชาญยังพบว่ามัลแวร์ยังมีความสามารถอื่นเพื่อทำให้ปฏิบัติการแนบเนียนจนสังเกตได้ยากดังนี้

  • สามารถขโมยข้อมูลอุปกรณ์ (Fingerprint) และส่งกลับไปให้คนร้าย ซึ่งคนร้ายอาจจะใช้ปลอมเป็นพฤติกรรมที่ดูเหมือนมาจากเหยื่อได้
  • ดักจัก SMS
  • ลอบบันทึก OTP, mTAN และ pushTAN ของแอปพลิเคชัน
  • ล็อกโทรศัพท์เพื่อปิดบังการทำงานบางอย่างไม่ผู้ใช้เห็น
  • ขโมยภาพจากอุปกรณ์
  • ทำลายตัวเองเพื่อปิดบังร่องรอย
  • ทำ Persistence บนอุปกรณ์เพราะสามารถทราบถึงการบรอดคลาสของ android.intent.action.SCREEN_ON และ android.provider.Telephony.SMS_DELIVER เพื่อรีสตาร์ทตัวเองหลังจากมีการรีบูตเมื่อหน้าจอถูกเปิดหรือมี SMS เข้า

ทั้งนี้วิธีการลัดผ่านการป้องกัน SMS ไม่ใช้วิธีการใหม่ แต่ก็ถือเป็นการวิวัฒนาการตัวเองของมัลแวร์บนมือถือ อย่างไรก็ดี IBM ชี้ว่าการโจมตียังพบแค่ในประเทศเยอรมันเท่านั้น สุดท้ายแล้วผู้ใช้งานก็ต้องใช้งานอย่างรอบคอบครับเพื่อป้องกันไม่ตกเป็นเหยื่อได้โดยง่าย

ที่มา :  https://www.bleepingcomputer.com/news/security/trickbot-bypasses-online-banking-2fa-protection-via-mobile-app/ และ  https://www.zdnet.com/article/trickbot-now-pushes-android-app-for-bypassing-2fa-on-banking-accounts/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

CISA ออกคู่มือแนะความมั่นคงปลอดภัยบนคลาวด์

CISA ได้จัดทำคู่มือเพื่อให้ความรู้ความเข้าใจเกี่ยวกับการปฏิบัติตัวของหน่วยงานในสหรัฐฯ แต่จากเนื้อหาแล้วก็สามารถนำมาประยุกต์ใช้อ้างอิงกับองค์กรส่วนใหญ่ได้ครับ

Ericsson รายงาน ปี 2022 มียอดผู้ใช้ 5G ทั่วโลก 1 พันล้านราย คาดแตะ 4.4 พันล้าน ภายในปี 2027

Ericsson ออกรายงาน Ericsson Mobility Report ประจำปี 2022 คาดการณ์ว่า ยอดผู้ใช้งาน 5G ในเอเชียตะวันออกเฉียงใต้และโอเชียเนียจะเติบโตสูงขึ้นสองเท่าจาก 15 ล้านบัญชีเมื่อปี 2021 และภายในปี …