เตือนภัยล้ำไปอีกขั้น! "RedWing" มัลแวร์ Android สายพันธุ์ใหม่ เปิดเช่าโกงแบงก์ผ่าน Telegram
ยุคนี้อะไรๆ ก็เป็นบริการรายเดือน (Subscription) แม้กระทั่ง "เครื่องมือโกงเงินธนาคาร" ครับ ล่าสุดนักวิจัยจาก Zimperium zLabs ได้ตรวจพบปฏิบัติการมัลแวร์ตัวใหม่บนระบบ Android ที่ชื่อว่า "RedWing" ซึ่งความน่ากลัวของมันคือ มันถูกนำมาปล่อยเช่าบน Telegram ในรูปแบบ MaaS (Malware-as-a-Service) หรือบริการมัลแวร์สำเร็จรูป ทำให้อาชญากรไซเบอร์หน้าใหม่ที่เขียนโค้ดไม่เป็นเลย ก็สามารถจ่ายเงินเช่าเพื่อระบบไปหลอกดูดเงินเหยื่อได้ง่ายๆ ครับ
เจ้า RedWing ตัวนี้ คาดว่าเป็นร่างพัฒนามาจากมัลแวร์สายพันธุ์เดิมที่ชื่อว่า Oblivion (ค่าเช่าราวๆ 300 ดอลลาร์ต่อเดือน) แต่รอบนี้มาแบบ Full Option มีทั้งคู่มือ วิดีโอสอนใช้งาน แถมยังมีระบบจัดโปรโมชันลดราคาหากชวนเพื่อมาเช่าด้วย (มี Referral ซะด้วย ล้ำไปไหม) โดยผู้เช่าแค่สั่งงานผ่าน Telegram Bot มันก็จะสร้างแอปพลิเคชันปลอม (Dropper) ออกมาให้พร้อใช้งานทันที แถมตอนนี้ยังหลบเลี่ยงแอปแสกนไวรัสทั่วไปได้ดีซะด้วย
กลโกงและขั้นตอนการหลอกเหยื่อ
มัลแวร์ตัวนี้ไม่ได้ใช้ช่องโหว่ขั้นสูงของระบบ แต่อาศัยการ "หลอกล่อทางจิตวิทยา" (Social Engineering) ให้เหยื่อลงแอปนอกสโตร์และกดอนุญาตสิทธิ์เองครับ โดยมีสเต็ปดังนี้
- ส่งลิงก์ฟิชชิง (Phishing Link): ปลอมหน้าเว็บให้เหมือนหน้าดาวน์โหลดแอปของ Google Play, Galaxy Store หรือ AppGallery มีรีวิว มีคะแนนดาวและยอดดาวน์โหลดปลอมครบถ้วน เพื่อให้เหยื่อตามใจยอมดาวน์โหลดไฟล์ไปติดตั้ง
- เนียนขอสิทธิ์แบบทีละหน้า (Staged Permissions): พอเปิดแอปขึ้นมา มันจะแสดงหน้าเว็บธรรมดาๆ บังฉากหลังไว้ แล้วค่อยๆ เด่งกล่องข้อความขอสิทธิ์ระบบจำกัดแบตเตอรี่ (เพื่อให้แอปแอบรันข้างงหลังได้ตลอดเวลา), ขอเป็นแอปอ่านข้อความหลัก (Default SMS) และขอเปิดการแจ้งเตือน
- ทีเด็ดคือขอสิทธิ์ Accessibility Service: ซึ่งเป็นฟังก์ชันช่วยเหลือผู้พิการ แต่พออาชญากรได้สิทธิ์นี้ไปมันจะสามารถ "มองเห็นหน้าจอ" และ "ควบคุมเครื่อง" ของเราได้แทบจะสมบูรณ์แบบเลยครับ
ความสามารถสุดอันตรายของ RedWing ทำอะไรได้บ้าง?
เมื่อได้สิทธิ์ควบคุมเครื่องไปแล้ว RedWing จะเปลี่ยนมือถือของเหยื่อให้กลายเป็นหุ่นเชิดทันที โดยมีความสามารถหลักๆ ดังนี้ครับ
- สร้างหน้าจอปลอม (Fack Overlays): แอบเอาหน้าล็อกอินปลอมไปแปะทับแอปธนาคารหรือแอปคริปโตตัวจริง พอเหยื่อพิมพ์รหัสผ่าน มันก็จะขโมยไปทันที
- ดักจับรหัส OTP: อ่านข้อความ SMS ที่วิ่งเข้ามา หรือใช้ระบบ Accessibility ดึงรหัส PIN และเลขบัตรเครดิตที่ปรากฎบนหน้าจอได้สดๆ
- แอบโอนสายโทรศัพท์ (21): สั่งเปิดระบบ Call Forwarding โอนสายเรียกเข้าทั้งหมดไปที่เบอร์ของคนร้าย ทำให้เวลาธนาคารโทรมาคอนเฟิร์มยอดเงินหรือโทรมาตรวจสอบความปลอดภัย เหยื่อจะไม่รู้เรื่องเลย
- ส่องหน้าจอและควบคุมแบบเรียลไทม์: คนร้ายสามารถดูสตรีมมิ่งหน้าจอสดๆ และใช้ Keylogger บันทึกการกดปุ่มทุกอย่าง เหมือนมานั่งคุมเครื่องเอง
- สอดเนมรอบด้าน: แอบเปิดกล้อง เปิดไมค์ แอบอ่านไฟล์ ขโมยรายชื่อผู้ติดต่อ และตามสืบตำแหน่ง (Location) ของเหยื่อได้ด้วย
- รวมกลุ่มโจมตี DDoS: สามารถสั่งการให้เครื่องของเหยื่อทั้งหมดพร้อมใจกันยิงทราฟฟิกถล่มเว็บไซต์เป้าหมายจนล่มได้อีกต่างหาก
วิธีเอาตัวรอดสำหรับผู้ใช้ทั่วไป
มัลแวร์ประเภทนี้จะทำงานไม่ได้เลยหากเราไม่ "ติดตั้งแอปนอกสโตร์" และไม่ "กดอนุญาตสิทธิ์" ด่านแรกที่สำคัญที่สุดคือตัวเราเองครับ- ติดตั้งแอปเฉพาะจาก Store อย่างเป็นทางการเท่านั้น (เช่น Google Play) อย่ากดลิงก์อัปเดตที่ส่งมาทาง SMS หรือแชทเด็ดขาด
- ห้ามเปิดสิทธิ์ "Install from unknown sources" (ติดตั้งแอปจากแหล่งที่ไม่รู้จัก) ทิ้งไว้
- อย่าให้สิทธิ์ Accessibility, SMS หรือแบตเตอรี่ กับแอปที่ไม่มีเหตุผลจำเป็นต้องใช้
- สังเกตอาการผิดปกติ หากติดตั้งแอปมาแล้ว "ไอคอนแอปหายไป" ให้สงสัยไว้ก่อนเลยว่าโดนเข้าแล้วครับ
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก