Breaking News
เอาเครื่องเก่ามาแลก แล้วรับเงินคืนไปเลย!!

นักวิจัยเผยมัลแวร์ TrickBot Banking พัฒนาใช้แอป Android ลัดผ่านการป้องกันด้วย OTP

TrickBot เป็นหนึ่งในมัลแวร์ที่มุ่งโจมตีบริการทางธนาคาร ซึ่งวันนี้ IBM X-Force ได้เปิดเผยถึงวิธีการใหม่ที่คนร้ายใช้เพื่อลัดผ่านการป้องกัน OTP ของธนาคารผ่านทางมือถือ

ไอเดียเริ่มต้นจากผู้ที่ติดมัลแวร์ TrickBot บนคอมพิวเตอร์ก่อน โดยหลังจากที่ไปฝังตัวในบราวน์เซอร์ได้ มัลแวร์ก็จะมีการดักจับการเข้าบริการธนาคาร จากนั้นมัลแวร์จะหลอกให้เหยื่อดาวน์โหลดแอปพลิเคชัน Android ที่อ้างตัวว่าเป็น Avast Antivirus หรือ Deutsche Bank Security Control ซึ่งแท้ที่จริงแล้วคือโทรจันที่ชื่อ IBM ตั้งชื่อให้ว่า TrickMo

TrickMo มีความสามารถหลายด้านโดยไอเดียก็คืออาศัยฟีเจอร์ Accessibility ของ Android ที่ออกแบบมาสำหรับผู้พิการ ทั้งนี้มัลแวร์สามารถ intecept ตัว Transaction Authentication Number (TANs) ที่ประกอบด้วย OTP, mobile TAN (mTAN) และ pushTAN ได้และส่งโค้ดที่ได้มากลับไปยังเซิร์ฟเวอร์ของคนร้าย

แต่ไม่เพียงเท่านั้นจากการวิเคราะห์ของผู้เชี่ยวชาญยังพบว่ามัลแวร์ยังมีความสามารถอื่นเพื่อทำให้ปฏิบัติการแนบเนียนจนสังเกตได้ยากดังนี้

  • สามารถขโมยข้อมูลอุปกรณ์ (Fingerprint) และส่งกลับไปให้คนร้าย ซึ่งคนร้ายอาจจะใช้ปลอมเป็นพฤติกรรมที่ดูเหมือนมาจากเหยื่อได้
  • ดักจัก SMS
  • ลอบบันทึก OTP, mTAN และ pushTAN ของแอปพลิเคชัน
  • ล็อกโทรศัพท์เพื่อปิดบังการทำงานบางอย่างไม่ผู้ใช้เห็น
  • ขโมยภาพจากอุปกรณ์
  • ทำลายตัวเองเพื่อปิดบังร่องรอย
  • ทำ Persistence บนอุปกรณ์เพราะสามารถทราบถึงการบรอดคลาสของ android.intent.action.SCREEN_ON และ android.provider.Telephony.SMS_DELIVER เพื่อรีสตาร์ทตัวเองหลังจากมีการรีบูตเมื่อหน้าจอถูกเปิดหรือมี SMS เข้า

ทั้งนี้วิธีการลัดผ่านการป้องกัน SMS ไม่ใช้วิธีการใหม่ แต่ก็ถือเป็นการวิวัฒนาการตัวเองของมัลแวร์บนมือถือ อย่างไรก็ดี IBM ชี้ว่าการโจมตียังพบแค่ในประเทศเยอรมันเท่านั้น สุดท้ายแล้วผู้ใช้งานก็ต้องใช้งานอย่างรอบคอบครับเพื่อป้องกันไม่ตกเป็นเหยื่อได้โดยง่าย

ที่มา :  https://www.bleepingcomputer.com/news/security/trickbot-bypasses-online-banking-2fa-protection-via-mobile-app/ และ  https://www.zdnet.com/article/trickbot-now-pushes-android-app-for-bypassing-2fa-on-banking-accounts/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เหตุ Ransomware ในโรงพยาบาลในเยอรมนีอาจเกี่ยวข้องกับการเสียชีวิตของผู้ป่วย

ทางการเยอรมนีกำลังตรวจสอบเหตุผู้ป่วยเสียชีวิตหลังจากที่โรงพยาบาลแห่งหนึ่งในเมือง Dusseldorf ถูกโจมตีด้วย Ransomware เมื่อสัปดาห์ที่ผ่านมา

CSL Webinar: Secure Your Precious Data by Cisco Security

CSL ร่วมกับ Nutanix ขอเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT เข้าฟังบรรยาย CSL Webinar เรื่อง “Secure Your Precious Data by Cisco Security” พร้อมเรียนรู้วิธีป้องกันและแนวทางปฏิบัติสำหรับองค์กรในการรับมือกับ Ransomware จากทาง Cisco ในวันพฤหัสบดีที่ 24 กันยายน 2020 เวลา 14:00 ผ่าน Live Webinar ฟรี