มัลแวร์ NFC ตัวใหม่ NGate ปลอมตัวเป็นแอปชำระเงิน
มัลแวร์ NFC ตัวใหม่ NGate ปลอมตัวเป็นแอปสำหรับการชำระเงินเข้าฝังตัวบน Android
การใช้มัลแวร์ปล้นเงินผ่านระบบ NFC (Near Field Connection) นั้นไม่ใช่เรื่องใหม่ แต่ก็ยังคงความอันตรายอย่างเสมอมาเพราะถ้าเผลอก็สามารถทำให้สูญเงินจำนวนมากได้อย่างรวดเร็ว และครั้งนี้มัลแวร์ในรูปแบบนี้ก็ได้กลับมาอีกครั้ง
จากรายงานโดยเว็บไซต์ Help Net Security ได้กล่าวถึงการตรวจพบแคมเปญการแพร่กระจายมัลแวร์ประเภทดูดเงินจากเหยื่อ หรือ Banking Trojan ในตระกูล NGage ซึ่งเป็นมัลแวร์ตระกูลที่ดูดข้อมูลจากบัตรเครดิตของเหยื่อผ่านการสแกนด้วยระบบ NFC บนโทรศัพท์มือถือของเหยื่อ เพื่อส่งข้อมูลไปยังเครื่องรับข้อมูลของแฮกเกอร์แล้วเอาไปรูดบัตรตามจุดซื้อของ (PoS หรือ Point of Sale) ต่าง ๆ ได้อย่างง่ายดายราวกับถือบัตรเอง ซึ่งเรียกว่า NFC Relay ซึ่งทางทีมวิจัยจาก ESET บริษัทผู้พัฒนาแอนตี้ไวรัสชื่อดังได้เผยว่า ตัวมัลแวร์นั้นใช้การแพร่กระจายด้วยการฝังตัวไว้บนแอปพลิเคชันสำหรับการชำระเงิน (Payment) แบบ NFC Relay ที่มีชื่อว่า HandyPay ซึ่งตามปกตินั้นใช้ในการแชร์ใช้งานบัตรเครดิต และเดบิตอย่างถูกต้อง โดยแอปพลิเคชันตัวนี้มีให้ดาวน์โหลดบนแอปสโตร์ Google Play มาตั้งแต่ปี ค.ศ. 2021 (ค.ศ. 2564) แล้ว ซึ่งแคมเปญนั้นได้มุ่งเน้นไปยังกลุ่มผู้ใช้งานโทรศัพท์มือถือที่ใช้ระบบปฏิบัติการ Android ภายในประเทศบราซิลมาตั้งแต่ช่วงปลายปี ค.ศ. 2025 (พ.ศ. 2568)
สาเหตุที่ตัวมัลแวร์ใช้การฝังตัวเพื่อใช้งานฟีเจอร์ของ HandyPay นั้น ทางทีมวิจัยเผยว่า มีสาเหตุจากแฮกเกอร์ที่อยู่เบื้องหลังนั้นพยายามประหยัดค่าใช้งาน เนื่องจากเครื่องมือทำ NFC Relay ที่ใช้ในกลุ่มผู้พัฒนามัลแวร์นั้น มักจะถูกจำหน่ายในตลาดมืดในรูปแบบมัลแวร์เช่าใช้ (MaaS หรือ Malware-as-a-Service) ที่มีค่าบริการค่อนข้างสูงต่อเดือน เช่น NFC Pay มีค่าเช่าใช้ที่ถึง 400 ดอลลาร์สหรัฐต่อเดือน (13,005.60 บาท) และ TX-NFC มีค่าเช่าใช้ที่สูงถึง 500 ดอลลาร์สหรัฐต่อเดือน (16,257 บาท) ขณะที่แอป HandyPay นั้นขอค่าบริจาคเพียง 9.99 ยูโร (380.27 บาท) ต่อเดือนเท่านั้น นอกจากนั้นการใช้งาน HandyPay บนเครื่องยังไม่มีการขอสิทธิ์ (Permission) ใด ๆ ขอเพียงแค่ตั้งค่าใช้เป็นแอปพลิเคชันจ่ายเงินแบบค่าเริ่มต้น (Default Payment App) เท่านั้น เรียกได้ว่ามีความเหมาะสมทั้งปวงในการใช้เป็นตัวกลางในการสอดไส้มัลแวร์
สำหรับโค้ดของตัวมัลแวร์ที่ถูกสอดไส้ลงไปยังแอปพลิเคชันดังกล่าวนั้น ทางทีมวิจัยได้ทำการตรวจสอบพบว่าภายในโค้ดนั้นมีอีโมจิ (Emoji) แทรกอยู่ในค่าสตริง (String) ส่วน Log ทำให้คาดหมายได้ว่าแฮกเกอร์ที่อยู่เบื้องหลังนั้นได้ใช้งานเครื่องมือปัญญาประดิษฐ์ หรือ AI (Artificial Intelligence) ในแบบโมเดลภาษาขนาดใหญ่ (LLM หรือ Large Language Model) ในการเข้ามาช่วยเขียนโค้ดมัลแวร์ดังกล่าว รวมทั้งแสดงให้เห็นว่าแฮกเกอร์ที่ใช้ AI ในการเขียนโค้ดมัลแวร์นั้นไม่ได้มีความชำนาญในการเขียนโปรแกรมในระดับลึกเท่าไหร่ เนื่องจากได้มีการทิ้งองค์ประกอบอันเป็นเอกลักษณ์ของคอนเทนต์ (Content) ที่ถูกสร้างขึ้นด้วย AI ทิ้งไว้
ในส่วนของแคมเปญที่ใช้ในการแพร่กระจายมัลแวร์นั้น ทางทีมวิจัยพบว่าแฮกเกอร์มีการใช้วิธีการอยู่ 2 วิธี แบบแรกนั้นจะเป็นการใช้เว็บไซต์ปลอมของ Rio de Prêmios ซึ่งเป็นองค์กรผู้ออกลอตเตอรี่ (Lottery) ของทางเมืองริโอ เดอ จาเนโร ซึ่งหลังจากที่เหยื่อเข้าไปยังเว็บไซต์ดังกล่าว ตัวหน้าเว็บไซต์จะชักชวนให้เหยื่อเล่นการ์ดเกม (Card Game) ที่ถูกตั้งค่าให้เหยื่อนั้นชนะรางวัล 20,000 เรอัลบราซิล (132,070.52 บาท) ทุกครั้งที่เล่น เพื่อให้เหยื่อกดปุ่มรับรางวัล (Claim Reward) ซึ่งหลังจากกด ตัวปุ่มก็จะพาเหยื่อไปยังแอปพลิเคชันแชท WhatsApp ซึ่งบัญชีที่ใช้สื่อสารกับเหยื่อนั้นจะเป็นบัญชีของแฮกเกอร์ที่แอบอ้างว่าเป็นธนาคารของรัฐบาลประเทศบราซิลที่มีชื่อว่า Caixa Econômica Federal ที่จะหลอกให้เหยื่อดาวน์โหลดแอปพลิเคชัน HandyPay สอดไส้มัลแวร์ในรูปแบบไฟล์ APK ที่แอบอ้างชื่อว่าเป็นแอปพลิเคชัน Rio de Prêmios ขณะที่อีกวิธีหนึ่งจะเป็นการใช้หน้า Google Play ปลอม หลอกให้เหยื่อดาวน์โหลดและติดตั้งแอปชื่อว่า Proteção Cartão ซึ่งเป็นแอปพลิเคชันที่อ้างว่าจะช่วยเสริมสร้างความปลอดภัยให้บัตรเครดิต จากชื่อที่สามารถแปลได้ว่า Card Protection โดยตัวแอปปลอมนั้นจะมาในรูปแบบไฟล์ APK ที่เหยื่อจะต้องทำการติดตั้งเองบนเครื่อง ซึ่งเป็นการติดตั้งในรูปแบบ Side-Loading
หลังจากที่เหยื่อติดตั้งแอปพลิเคชันเหล่านี้ลงสู่เครื่องเป็นที่เรียบร้อยแล้ว ตัวแอปพลิเคชันแฝงมัลแวร์จะขึ้นแจ้งเตือนให้ตั้งแต่เป็นแอปพลิเคชันสำหรับจ่ายเงินแบบ NFC แบบค่าเริ่มต้น จากนั้นก็จะทำการร้องขอให้เหยื่อทำการป้อนรหัส PIN ของบัตรของเหยื่อ และให้เหยื่อทำการแตะบัตร (Tap) กับตัวเครื่องที่เปิดใช้งาน NFC เป็นที่เรียบร้อยแล้ว ซึ่งตัวมัลแวร์จะทำการอ่านข้อมูลของบัตรไปยังเครื่องรับของแฮกเกอร์โดยตรงเพื่อนำเอาบัตรไปใช้งาน ขณะที่หมายเลข PIN นั้นจะถูกส่งไปยังเซิร์ฟเวอร์ควบคุมมัลแวร์ (C2 หรือ Command and Control) ผ่านทางโปรโตคอล HTTP โดยเซิร์ฟเวอร์ดังกล่าวนั้นจะเป็นเซิร์ฟเวอร์เดียวกันกับที่เก็บไฟล์แอปพลิเคชันปลอมสอดไส้มัลแวร์ดังกล่าวไว้
จากประสบการณ์ที่ติดตามข่าวสารด้านความปลอดภัยไซเบอร์ ผมขอแชร์คำแนะนำในการป้องกันมัลแวร์ NFC อย่าง NGate ที่ปลอมเป็นแอปชำระเงิน HandyPay เพื่อไม่ให้เงินในบัญชีของคุณถูกโจรกรรมอย่างง่ายดาย มัลแวร์นี้มีความอันตรายโดยใช้ฟีเจอร์ NFC ของโทรศัพท์มือถือ Android เพื่อสแกนและเก็บข้อมูลบัตรเครดิตหรือเดบิตของเหยื่อแบบไม่รู้ตัว การปล่อยให้แอปที่ไม่รู้จักหรือแอปปลอมติดตั้งเป็นค่าเริ่มต้นสำหรับชำระเงิน NFC จึงเป็นความเสี่ยงสูงมาก ข้อดีของแอป HandyPay ที่ถูกใช้เป็นฐานมัลแวร์คือ ค่าบริการถูกและไม่ต้องขอสิทธิ์ใช้งานเยอะ ทำให้แฮกเกอร์เลือกใช้เป็นช่องทางสอดไส้มัลแวร์ง่ายขึ้น ผมขอแนะนำให้คุณตรวจสอบแอปที่ดาวน์โหลดว่ามาจากแหล่งที่เชื่อถือได้หรือไม่ เพราะแฮกเกอร์ใช้เว็บไซต์สแกมหรือ Google Play ปลอม ล่อให้เหยื่อติดตั้งไฟล์ APK ด้วยตนเอง (side-loading) ซึ่งเสี่ยงมาก นอกจากนี้เมื่อได้รับคำขอให้ตั้งแอปเป็นค่าเริ่มต้นสำหรับการชำระเงิน NFC หรือต้องป้อนรหัส PIN ควรคิดให้ดีว่ามีความจำเป็นหรือไม่ เพราะมัลแวร์จะดักข้อมูลเหล่านี้ส่งกลับเซิร์ฟเวอร์แฮกเกอร์ทันที ในแง่การป้องกันเชิงเทคนิค ควรอัปเดตระบบปฏิบัติการและแอปต่างๆ เป็นเวอร์ชันล่าสุดเสมอ ใช้ซอฟต์แวร์แอนตี้ไวรัสที่มีชื่อเสียง เช่น ESET เพื่อช่วยตรวจจับพฤติกรรมมุ่งร้าย และอย่าเปิดฟีเจอร์ NFC ตอนที่ไม่จำเป็นเพื่อจำกัดช่องโหว่ สุดท้าย อย่าหลงกลโฆษณาหรือคำชักชวนให้เข้าร่วมแคมเปญแจกของรางวัลผ่านเว็บไซต์แปลก ๆ และอย่ากดลิงก์ที่ส่งมาทางแชทโดยไม่ตรวจสอบอย่างละเอียด เพราะมันอาจเป็นกับดักให้ดาวน์โหลดมัลแวร์ลงเครื่องโดยไม่รู้ตัว การใช้สติและความระมัดระวังจะช่วยรักษาความปลอดภัยทางการเงินของคุณได้ดีกว่าการพึ่งพาเครื่องมือใดเครื่องมือหนึ่งเพียงอย่างเดียว หวังว่าเกร็ดเล็กเกร็ดน้อยจากประสบการณ์นี้จะเป็นประโยชน์สำหรับทุกคนที่ใช้โทรศัพท์และชำระเงินผ่าน NFC ให้อัปเดตตนเองเสมอเพื่อความปลอดภัยทางไซเบอร์ครับ
