เตือนภัยล้ำไปอีกขั้น! "RedWing" มัลแวร์ Android สายพันธุ์ใหม่ เปิดเช่าโกงแบงก์ผ่าน Telegram

ยุคนี้อะไรๆ ก็เป็นบริการรายเดือน (Subscription) แม้กระทั่ง "เครื่องมือโกงเงินธนาคาร" ครับ ล่าสุดนักวิจัยจาก Zimperium zLabs ได้ตรวจพบปฏิบัติการมัลแวร์ตัวใหม่บนระบบ Android ที่ชื่อว่า "RedWing" ซึ่งความน่ากลัวของมันคือ มันถูกนำมาปล่อยเช่าบน Telegram ในรูปแบบ MaaS (Malware-as-a-Service) หรือบริการมัลแวร์สำเร็จรูป ทำให้อาชญากรไซเบอร์หน้าใหม่ที่เขียนโค้ดไม่เป็นเลย ก็สามารถจ่ายเงินเช่าเพื่อระบบไปหลอกดูดเงินเหยื่อได้ง่ายๆ ครับ

เจ้า RedWing ตัวนี้ คาดว่าเป็นร่างพัฒนามาจากมัลแวร์สายพันธุ์เดิมที่ชื่อว่า Oblivion (ค่าเช่าราวๆ 300 ดอลลาร์ต่อเดือน) แต่รอบนี้มาแบบ Full Option มีทั้งคู่มือ วิดีโอสอนใช้งาน แถมยังมีระบบจัดโปรโมชันลดราคาหากชวนเพื่อมาเช่าด้วย (มี Referral ซะด้วย ล้ำไปไหม) โดยผู้เช่าแค่สั่งงานผ่าน Telegram Bot มันก็จะสร้างแอปพลิเคชันปลอม (Dropper) ออกมาให้พร้อใช้งานทันที แถมตอนนี้ยังหลบเลี่ยงแอปแสกนไวรัสทั่วไปได้ดีซะด้วย

กลโกงและขั้นตอนการหลอกเหยื่อ

มัลแวร์ตัวนี้ไม่ได้ใช้ช่องโหว่ขั้นสูงของระบบ แต่อาศัยการ "หลอกล่อทางจิตวิทยา" (Social Engineering) ให้เหยื่อลงแอปนอกสโตร์และกดอนุญาตสิทธิ์เองครับ โดยมีสเต็ปดังนี้

  1. ส่งลิงก์ฟิชชิง (Phishing Link): ปลอมหน้าเว็บให้เหมือนหน้าดาวน์โหลดแอปของ Google Play, Galaxy Store หรือ AppGallery มีรีวิว มีคะแนนดาวและยอดดาวน์โหลดปลอมครบถ้วน เพื่อให้เหยื่อตามใจยอมดาวน์โหลดไฟล์ไปติดตั้ง
  2. เนียนขอสิทธิ์แบบทีละหน้า (Staged Permissions): พอเปิดแอปขึ้นมา มันจะแสดงหน้าเว็บธรรมดาๆ บังฉากหลังไว้ แล้วค่อยๆ เด่งกล่องข้อความขอสิทธิ์ระบบจำกัดแบตเตอรี่ (เพื่อให้แอปแอบรันข้างงหลังได้ตลอดเวลา), ขอเป็นแอปอ่านข้อความหลัก (Default SMS) และขอเปิดการแจ้งเตือน
  3. ทีเด็ดคือขอสิทธิ์ Accessibility Service: ซึ่งเป็นฟังก์ชันช่วยเหลือผู้พิการ แต่พออาชญากรได้สิทธิ์นี้ไปมันจะสามารถ "มองเห็นหน้าจอ" และ "ควบคุมเครื่อง" ของเราได้แทบจะสมบูรณ์แบบเลยครับ

ความสามารถสุดอันตรายของ RedWing ทำอะไรได้บ้าง?

เมื่อได้สิทธิ์ควบคุมเครื่องไปแล้ว RedWing จะเปลี่ยนมือถือของเหยื่อให้กลายเป็นหุ่นเชิดทันที โดยมีความสามารถหลักๆ ดังนี้ครับ

  • สร้างหน้าจอปลอม (Fack Overlays): แอบเอาหน้าล็อกอินปลอมไปแปะทับแอปธนาคารหรือแอปคริปโตตัวจริง พอเหยื่อพิมพ์รหัสผ่าน มันก็จะขโมยไปทันที
  • ดักจับรหัส OTP: อ่านข้อความ SMS ที่วิ่งเข้ามา หรือใช้ระบบ Accessibility ดึงรหัส PIN และเลขบัตรเครดิตที่ปรากฎบนหน้าจอได้สดๆ
  • แอบโอนสายโทรศัพท์ (21): สั่งเปิดระบบ Call Forwarding โอนสายเรียกเข้าทั้งหมดไปที่เบอร์ของคนร้าย ทำให้เวลาธนาคารโทรมาคอนเฟิร์มยอดเงินหรือโทรมาตรวจสอบความปลอดภัย เหยื่อจะไม่รู้เรื่องเลย
  • ส่องหน้าจอและควบคุมแบบเรียลไทม์: คนร้ายสามารถดูสตรีมมิ่งหน้าจอสดๆ และใช้ Keylogger บันทึกการกดปุ่มทุกอย่าง เหมือนมานั่งคุมเครื่องเอง
  • สอดเนมรอบด้าน: แอบเปิดกล้อง เปิดไมค์ แอบอ่านไฟล์ ขโมยรายชื่อผู้ติดต่อ และตามสืบตำแหน่ง (Location) ของเหยื่อได้ด้วย
  • รวมกลุ่มโจมตี DDoS: สามารถสั่งการให้เครื่องของเหยื่อทั้งหมดพร้อมใจกันยิงทราฟฟิกถล่มเว็บไซต์เป้าหมายจนล่มได้อีกต่างหาก
นักวิจัยระบุว่า เทรนด์ของมัลแวร์ Android ตอนนี้เปลี่ยนไปสู่การทำ On-device Fraud หรือการเข้าไปสวมรอยทำธุรกรรมคาเซสชันการใช้งานธนาคารของเหยื่องตรงๆ บนมือถือเครื่องนั้นเลย ซึ่งจับทางยากกว่าการขโมยรหัสผ่านไปล็อกอินที่อื่นแบบแต่ก่อนมากครับ จากสถิติล่าสุดพบว่ามีสถาบันการเงินกว่า 82 แห่ง (เน้นไปที่กลุ่มการเงินมในรัสเซีย) ตกเป็นเป้าหมายแล้ว

วิธีเอาตัวรอดสำหรับผู้ใช้ทั่วไป

มัลแวร์ประเภทนี้จะทำงานไม่ได้เลยหากเราไม่ "ติดตั้งแอปนอกสโตร์" และไม่ "กดอนุญาตสิทธิ์" ด่านแรกที่สำคัญที่สุดคือตัวเราเองครับ

  • ติดตั้งแอปเฉพาะจาก Store อย่างเป็นทางการเท่านั้น (เช่น Google Play) อย่ากดลิงก์อัปเดตที่ส่งมาทาง SMS หรือแชทเด็ดขาด
  • ห้ามเปิดสิทธิ์ "Install from unknown sources" (ติดตั้งแอปจากแหล่งที่ไม่รู้จัก) ทิ้งไว้
  • อย่าให้สิทธิ์ Accessibility, SMS หรือแบตเตอรี่ กับแอปที่ไม่มีเหตุผลจำเป็นต้องใช้
  • สังเกตอาการผิดปกติ หากติดตั้งแอปมาแล้ว "ไอคอนแอปหายไป" ให้สงสัยไว้ก่อนเลยว่าโดนเข้าแล้วครับ
จำไว้นะครับ มัลแวร์พวกนี้เปลี่ยนหน้าตา เปลี่ยนชื่อแอป เปลี่ยนค่ายหลอกลวงงได้ตลอดเวลา ดังนั้น "ชื่อแอป" จึงไม่ใช่สิ่งที่เราจะใช้ระวังตัว แต่เป็น "พฤติกรรมการขอสิทธิ์ที่เกินจริง" ต่าหากที่เราต้องเอะใจครับ ปลอดภัยไว้ก่อนดีที่สุดครับ

#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก