Breaking News
AMR | Sophos Webinar

นักวิจัยเผยมัลแวร์ TrickBot Banking พัฒนาใช้แอป Android ลัดผ่านการป้องกันด้วย OTP

TrickBot เป็นหนึ่งในมัลแวร์ที่มุ่งโจมตีบริการทางธนาคาร ซึ่งวันนี้ IBM X-Force ได้เปิดเผยถึงวิธีการใหม่ที่คนร้ายใช้เพื่อลัดผ่านการป้องกัน OTP ของธนาคารผ่านทางมือถือ

ไอเดียเริ่มต้นจากผู้ที่ติดมัลแวร์ TrickBot บนคอมพิวเตอร์ก่อน โดยหลังจากที่ไปฝังตัวในบราวน์เซอร์ได้ มัลแวร์ก็จะมีการดักจับการเข้าบริการธนาคาร จากนั้นมัลแวร์จะหลอกให้เหยื่อดาวน์โหลดแอปพลิเคชัน Android ที่อ้างตัวว่าเป็น Avast Antivirus หรือ Deutsche Bank Security Control ซึ่งแท้ที่จริงแล้วคือโทรจันที่ชื่อ IBM ตั้งชื่อให้ว่า TrickMo

TrickMo มีความสามารถหลายด้านโดยไอเดียก็คืออาศัยฟีเจอร์ Accessibility ของ Android ที่ออกแบบมาสำหรับผู้พิการ ทั้งนี้มัลแวร์สามารถ intecept ตัว Transaction Authentication Number (TANs) ที่ประกอบด้วย OTP, mobile TAN (mTAN) และ pushTAN ได้และส่งโค้ดที่ได้มากลับไปยังเซิร์ฟเวอร์ของคนร้าย

แต่ไม่เพียงเท่านั้นจากการวิเคราะห์ของผู้เชี่ยวชาญยังพบว่ามัลแวร์ยังมีความสามารถอื่นเพื่อทำให้ปฏิบัติการแนบเนียนจนสังเกตได้ยากดังนี้

  • สามารถขโมยข้อมูลอุปกรณ์ (Fingerprint) และส่งกลับไปให้คนร้าย ซึ่งคนร้ายอาจจะใช้ปลอมเป็นพฤติกรรมที่ดูเหมือนมาจากเหยื่อได้
  • ดักจัก SMS
  • ลอบบันทึก OTP, mTAN และ pushTAN ของแอปพลิเคชัน
  • ล็อกโทรศัพท์เพื่อปิดบังการทำงานบางอย่างไม่ผู้ใช้เห็น
  • ขโมยภาพจากอุปกรณ์
  • ทำลายตัวเองเพื่อปิดบังร่องรอย
  • ทำ Persistence บนอุปกรณ์เพราะสามารถทราบถึงการบรอดคลาสของ android.intent.action.SCREEN_ON และ android.provider.Telephony.SMS_DELIVER เพื่อรีสตาร์ทตัวเองหลังจากมีการรีบูตเมื่อหน้าจอถูกเปิดหรือมี SMS เข้า

ทั้งนี้วิธีการลัดผ่านการป้องกัน SMS ไม่ใช้วิธีการใหม่ แต่ก็ถือเป็นการวิวัฒนาการตัวเองของมัลแวร์บนมือถือ อย่างไรก็ดี IBM ชี้ว่าการโจมตียังพบแค่ในประเทศเยอรมันเท่านั้น สุดท้ายแล้วผู้ใช้งานก็ต้องใช้งานอย่างรอบคอบครับเพื่อป้องกันไม่ตกเป็นเหยื่อได้โดยง่าย

ที่มา :  https://www.bleepingcomputer.com/news/security/trickbot-bypasses-online-banking-2fa-protection-via-mobile-app/ และ  https://www.zdnet.com/article/trickbot-now-pushes-android-app-for-bypassing-2fa-on-banking-accounts/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

จัดการอุปกรณ์ BYOD อย่างมั่นคงปลอดภัยและง่ายดาย ด้วย CommScope Ruckus Cloud Wi-Fi และ Cloudpath

ทุกวันนี้ผู้ดูแลระบบเครือข่ายของธุรกิจองค์กรต่างต้องเผชิญกับอุปกรณ์ที่ผู้ใช้งานนำมาใช้เองหรือที่เรียกว่า Bring Your Own Device (BYOD) กันอย่างมากมาย ซึ่งโจทย์สำคัญที่ฝ่าย IT ต้องตอบให้ได้นั้นก็คือจะจัดการกับอุปกรณ์เหล่านี้อย่างไรให้มั่นคงปลอดภัยโดยที่ผู้ดูแลระบบเครือข่ายไม่ต้องเสียเวลามากนัก และหนึ่งในคำตอบที่น่าสนใจนั้นก็คือการใช้ CommScope Ruckus Cloud Wi-Fi ร่วมกับ Cloudpath นั่นเอง

Microsoft Defender ATP Web Content Filtering เปิดให้ใช้งานได้ฟรีแล้วสำหรับลูกค้าองค์กร

ความสามารถของ Microsoft Defender Advanced Threat Protection (ATP) Web Content Filtering นั้นจะกลายเป็นความสามารถที่ลูกค้ากลุ่มธุรกิจองค์กรสามารถใช้งานได้ฟรีโดยไม่ต้องมีค่าใช้จ่ายใดๆ เพิ่มเติม