พบมัลแวร์ดูดเงินตัวใหม่ ใช้หน้าจอ KYC ปลอม
พบมัลแวร์ดูดเงินตัวใหม่ ใช้หน้าจอ KYC ปลอม หลอกขโมยข้อมูลยืนยันตัวตนเหยื่อ
การทำ KYC หรือ Know-Your-Customer นั้นเรียกได้ว่าเป็นขั้นตอนที่จำเป็นในการใช้งานบริการต่าง ๆ ส่วนหนึ่งก็เพื่อการกลั่นกรองผู้ใช้งานให้เป็นไปตามกฎหมาย อีกส่วนก็เพื่ออำนวยความสะดวกในการกู้บัญชีคืน และด้วยความจำเป็นนี้เอง ก็ได้มีแฮกเกอร์นำเอาขั้นตอนนี้มาใช้ประโยชน์เพื่อหลอก��ขโมยข้อมูลสำคัญจากเหยื่อ
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญของมัลแวร์ประเภทดูดเงิน หรือ Banking Malware ตัวใหม่ที่มีชื่อว่า KYCShadow ซึ่งมุ่งเน้นการโจมตีกลุ่มผู้ใช้งานโทรศัพท์มือถือบนระบบปฏิบัติการ Android ด้วยการหลอกขโมยรหัสผ่านทางหน้า KYC ปลอม ซึ่งแคมเปญในการแพร่กระจายมัลแวร์นี้จะเริ่มต้นจากการใช้งานบริการแชท WhatsApp หลอกลวงให้เหยื่อทำการติดตั้งแอปพลิเคชันสำหรับการทำการยืนยันตัวตนกับธนาคาร (ปลอม) ซึ่งตัวแอปปลอมนั้นจะมีการสร้างให้ดูมีความน่าเชื่อถือมาก โดยหลังจากที่ติดตั้งเสร็จ ตัวมัลแวร์ก็จะหลอกให้เหยื่อทำการกรอกข้อมูลสำคัญต่าง ๆ เพื่อยืนยันตัวตน เช่น เลขรหัส PIN ของบัตร ATM, หมายเลขบัตรประจำตัวประชาชน, หมายเลขโทรศัพท์มือถือ และข้อมูลสำคัญอื่น ๆ
หลังจากที่เหยื่อทำการกรอกข้อมูลทุกอย่างเสร็จเรียบร้อยแล้วกดยืนยันเพื่อส่งข้อมูล ตัวแอปปลอมก็จะขึ้นข้อความว่า การยืนยันตัวตนกำลังถูกตำเนินการอยู่ (Verification is in Progress) แต่แท้จริงแล้วตัวมัลแวร์นั้นกำลังส่งข้อมูลของเหยื่อกลับไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่ตั้งอยู่ที่ jsonapi[.]biz
ทางทีมวิจัยจาก Cyfirma บริษัทผู้เชี่ยวชาญเรื่องการตรวจสอบภัยไซเบอร์ ได้กล่าวว่าจากการตรวจสอบของทีมงานพบว่ามัลแวร์ตัวนี้พึ่งถูกแพร่กระจายในช่วงเดือนเมษายน ที่ผ่านมา โดยได้มีการระบาดอย่างหนักในประเทศอินเดีย ซึ่งเมื่อตรวจสอบในเชิงเทคนิคแล้วพบว่า ตัวมัลแวร์นั้นมีการใช้งานมัลแวร์นกต่อ (Dropper) เพื่อเข้าสู่เครื่องมากถึง 2 ชั้นเลยทีเดียว
ซึ่งในขั้นแรกนั้นมัลแวร์นกต่อจะมาในรูปแบบแอปพลิเคชันที่ทำหน้าที่ในการถอดรหัส (Decryption) และปล่อยไฟล์มัลแวร์ (Payload) ตัวที่สองลงมาในฉากหลัง (Background) ซึ่งทั้งหมดนี้เป็นไปเพื่อหลบเลี่ยงการถูกตรวจจับโดยระบบรักษาความปลอดภัยบนเครื่องของเหยื่อ โดยทั้งหมดจะเริ่มต้นขึ้นหลังจากที่เหยื่อติดตั้งแอปพลิเคชันเสร็จ ตัวแอปพลิเคชันก็จะอ้างว่าเหยื่อต้องทำการติดตั้งอัปเดต (Update Required) เสียก่อน ซึ่งถ้าเหยื่อกดติดตั้งอัปเดต (Install Update) ซึ่งหลังจากจากกดแล้ว ก็จะนำไปสู่คำขอในการเชื่อมต่อกับเครือข่ายส่วนตัว หรือ VPN (Virtual Private Network) โดยเมื่อคำขอทั้ง 2 ได้รับการอนุมัติโดยเหยื่อแล้ว ก็จะนำไปสู่การถอดรหัสและคลายไฟล์ด้วยการใช้อัลกอริทึม XOR ซึ่งถูกฝังเป็นส่วนหนึ่งกับชื่อแพ็คเกจ เพื่อป้องกันการถอดรหัสแพ็คเกจโดยเหล่านักวิเคราะห์มัลแวร์ ซึ่งแพ็คเกจมัลแวร์ดังกล่าวนั้นจะถูกเขียนลงไปยังโฟลเดอร์ชั่วคราว ก่อนที่จะทำการติดตั้งอย่างเงียบเชียบผ่านทาง PackageInstaller API ของตัวระบบ Android โดยที่เหยื่อนั้นไม่ต้องมีปฏิสัมพันธ์ด้วยแต่อย่างใด
ซึ่งหลังจากที่ตัว Payload ตัวที่ 2 ซึ่งมีชื่อว่า com.am5maw3.android ได้ถูกติดตั้ง และทำงานบนเครื่องของเหยื่อเป็นที่เรียบร้อยแล้ว ก็จะทำการซ่อนไอคอนของตนเองเพื่อหลบซ่อนตัวให้พ้นสายตาจากเหยื่อ นอกจากนั้นก็ยังมีการสร้างความคงทนบนระบบ (Persistent) ด้วยการลงทะเบียนตัวเองกับ Firebase Cloud Messaging เพื่อใช้เป็นช่องทางในการรับคำสั่งแบบ Push จากแฮกเกอร์ที่อยู่เบื้องหลัง จากนั้นตัวมัลแวร์ก็จะทำการขอสิทธิ์ในการเข้าถึงข้อความสั้น (SMS หรือ Short Message Service), ส่วนควบคุมการโทรเข้าออก และขอสิทธิ์ในการยกเว้น (Exception) ไม่ให้เป็นส่วนหนึ่งของการทำงานของระบบเพิ่มประสิทธิภาพแบตเตอรี่ (Battery Optimization) จากนั้นก็จะทำการดำเนินการขโมยข้อมูลของเหยื่อต่อไป
จากประสบการณ์ส่วนตัวและการติดตามข่าวสารด้านความปลอดภัยไซเบอร์ ความพยายามของแฮกเกอร์ในการลวงเหยื่อผ่านแอปปลอมนั้นถือเป็นเทคนิคที่พบเห็นบ่อยขึ้นในยุคนี้ โดยเฉพาะกับขั้นตอนการยืนยันตัวตน KYC ซึ่งต้องมีการกรอกข้อมูลส่วนตัวสำคัญ เช่น หมายเลขบัตรประชาชน และ PIN ATM นอกจากการเลี่ยงระบบตรวจจับด้วยมัลแวร์นกต่อหลายชั้นแล้ว การใช้วิธีการหลอกให้เหยื่อติดตั้งอัปเดตปลอม และขอสิทธิ์เข้าถึงข้อความ SMS กับการควบคุมโทรศัพท์ ยังเป็นวิธีที่ทำให้มัลแวร์ซ่อนตัวได้ดีและยากต่อการตรวจจับ การที่มัลแวร์นี้ลงทะเบียนกับ Firebase Cloud Messaging เพื่อรับคำสั่งแบบ Push ก็ยิ่งแสดงถึงความซับซ้อนในการควบคุมจากระยะไกล เพื่อป้องกันตัวเอง ผมแนะนำให้ผู้ใช้หลีกเลี่ยงการคลิกลิงก์หรือรับแอปจากแหล่งที่ไม่น่าเชื่อถือ และใช้การยืนยันสองขั้นตอน (2FA) กับบริการทางการเงินให้ครบถ้วนเสมอ นอกจากนี้ควรติดตั้งแอปจาก Play Store เท่านั้น และตรวจสอบการอนุญาตของแอปอย่างละเอียดเมื่อมีการขอสิทธิ์เข้าถึงข้อมูลส่วนตัวหรือระบบโทรศัพท์ อีกหนึ่งเคล็ดลับคือ การเปลี่ยน PIN และรหัสผ่านเป็นประจำ และระวังไม่ส่งรหัส OTP หรือข้อมูลสำคัญให้ผู้อื่นเด็ดขาด ส่วนผู้ที่สงสัยว่าถูกมัลแวร์โจมตี ควรรีบทำการรีเซ็ตโทรศัพท์และเปลี่ยนรหัสผ่านทันที เพื่อป้องกันความเสียหายที่อาจเกิดขึ้น ในภาพรวม การเข้าใจกลโกงใหม่ ๆ เช่น KYCShadow จะช่วยให้เราระมัดระวังและรับมือกับภัยทางไซเบอร์ได้ดียิ่งขึ้น ทั้งนี้ขอแนะนำให้ติดตามข่าวสารจากแหล่งข้อมูลด้านความปลอดภัยไซเบอร์อย่างสม่ำเสมอ เพื่ออัพเดทวิธีป้องกันและตรวจสอบภัยต่าง ๆ ได้ทันสถานการณ์
