แคมเปญฟิชชิ่งปลอมเป็นสำนักงานขนส่งในภูมิภาค มุ่งเป้าหมายไปที่ผู้ใช้ Android ในประเทศอินเดี


ตั้งแต่ปี 2021 ประเทศอินเดียต้องเผชิญกับภัยคุกคามทางไซเบอร์ที่เกี่ยวข้องกับมัลแวร์บน Android ที่มุ่งเป้าหมายไปที่ลูกค้าธนาคาร

ผู้ไม่หวังดีได้เริ่มแพร่กระจายมัลแวร์ในช่วงแรกผ่านการส่งข้อความ SMS ที่มีลิงก์ฟิชชิ่ง ซึ่งให้ผู้ใช้ดำเนินการดาวน์โหลดแอปพลิเคชันปลอมที่เป็นอันตรายบน Android โดยมีหัวข้อเกี่ยวกับ คะแนนรางวัลบัตรเครดิต และการอัปเดต KYC

ในปี 2021 CRIL เน้นย้ำถึงแคมเปญการโจมตีนี้ ซึ่งมุ่งเป้าหมายไปที่ผู้ใช้งานธนาคารในประเทศอินเดีย โดยใช้มัลแวร์ขโมยข้อมูลบน Android จากนั้นเมื่อไม่นานมานี้ CRIL พบการเพิ่มขึ้นของแคมเปญฟิชชิ่งนี้ โดยผู้ไม่หวังดีได้พัฒนาวิธีการให้ครอบคลุมยิ่งขึ้น โดยการการเพิ่มหัวข้อที่เกี่ยวกับการชำระค่าสาธารณูปโภค และโครงการของรัฐบาล นอกจากนี้ยังมีการเปลี่ยนแปลงจากการส่งข้อความฟิชชิ่งผ่าน SMS มาเป็นการใช้ข้อความใน WhatsApp แทน

ในระหว่างการวิเคราะห์แอปพลิเคชันที่เกี่ยวข้องกับแคมเปญนี้ CRIL พบ C2 Server ที่ชื่อ “hxxps://sallu[.]info” ซึ่งมี panel สำหรับผู้ดูแลระบบบน panel นี้ โดยพบหมายเลข WhatsApp “9238022687” ที่แสดงรายการสนับสนุนที่เกี่ยวกับลิงก์, APKs และ UPI panel assistance ซึ่งคาดว่าผู้ไม่หวังดีอาจกำลังใช้งานมัลแวร์ในรูปแบบ Malware-as-a-Service (MaaS)

และยังพบ admin panels ระบบอื่น ๆ ที่เกี่ยวข้องกับแคมเปญนี้ซึ่งแสดงข้อความเดียวกัน ในเดือนมีนาคม 2024 McAfee พบว่าแคมเปญนี้กำลังใช้บริการมัลแวร์แบบ Malware-as-a-Service(MaaS) ที่ให้บริการโดย ELVIA INFOTECH

ไม่มีการ Launcher Activity

ผู้ไม่หวังดีใช้มัลแวร์ตัวใหม่ที่ไม่มี Launcher Activity ซึ่งจากการตรวจสอบไฟล์ manifest พบว่าไม่มี Launcher Activity ซึ่งทำให้ไอคอนแอปพลิเคชันไม่ปรากฏในลิสต์ จึงทำให้ยากต่อการระบุ และถอนมัลแวร์ออกจากเครื่องผู้ใช้

เมื่อผู้ใช้ติดตั้งแอปพลิเคชันแล้ว ผู้ใช้จะได้รับข้อความให้เปิดแอปพลิเคชัน หลังจากที่เปิดแอปพลิเคชันแล้ว มัลแวร์จะแสดงหน้าต่างของการขออนุญาตให้ส่ง และรับข้อความ SMS ถ้าผู้ใช้ให้สิทธิ์ มัลแวร์จะแสดงหน้าจอฟิชชิ่ง ซึ่งเป็นหน้าเข้าสู่ระบบของธนาคารอินเดียปลอม

แคมเปญฟิชชิ่งใหม่ที่ปลอมเป็นสำนักงานขนส่งในภูมิภาค

ตั้งแต่ต้นปี 2024 ประชาชนของประเทศอินเดียได้รับข้อความฟิชชิ่งผ่าน WhatsApp ซึ่งแอบอ้างเป็นตัวแทนของสำนักงานขนส่งในภูมิภาค (RTO) ซึ่งเป็นหน่วยงานราชการในประเทศอินเดียที่รับผิดชอบเรื่องการลงทะเบียนรถยนต์, ใบอนุญาตขับขี่ และอื่น ๆ เกี่ยวกับการขนส่ง

ข้อความฟิชชิ่งที่ส่งผ่าน WhatsApp แต่ละข้อความปลอมเป็นการแจ้งเตือนทางการจากสำนักงานขนส่งในภูมิภาค (RTO) ที่ระบุถึงการละเมิดกฎจราจรของยานพาหนะของผู้ใช้ รวมถึงไฟล์ APK ชื่อ "VAHAN PARIVAHAN.apl" ที่เลียนแบบเอกสาร "challan" ซึ่งเป็นคำศัพท์ท้องถิ่นที่หมายถึงเอกสาร หรือใบเสร็จทางการ ข้อความเหล่านี้มีโลโก้ของสำนักงานขนส่งในภูมิภาคในภาพโปรไฟล์ เพื่อล่อลวงให้เหยื่อดาวน์โหลดแอปพลิเคชันที่เป็นอันตราย

มัลแวร์จากแคมเปญนี้ยังคงไม่มีการใช้งาน Launcher Activity แต่ไม่เหมือนมัลแวร์ก่อนหน้านี้ที่ใช้หน้าจอฟิชชิ่งเลียนแบบธนาคารในอินเดีย แต่แอปพลิเคชั่นนี้จะทำงานในพื้นหลังเพื่อส่งข้อความ SMS จากอุปกรณ์ที่ติดมัลแวร์ และเก็บรวบรวมข้อความ SMS และรายชื่อผู้ติดต่อ

รายละเอียดทางเทคนิค

เมื่อผู้ใช้ติดตั้ง และเปิดแอปพลิเคชัน มัลแวร์จะแจ้งให้ผู้ใช้อนุญาตให้เข้าถึงข้อมูลการส่งข้อความ SMS และรายชื่อผู้ติดต่อ

ในการทำงานหลักของมัลแวร์ มันจะดาวน์โหลดหน้าจอที่เป็นหน้าว่างใน WebView และขอให้ผู้ใช้กำหนดให้แอปพลิเคชัน "VAHAN PARIVAHAN" เป็นแอปพลิเคชัน SMS เริ่มต้น ในเวลาเดียวกันมัลแวร์จะส่งข้อมูลของอุปกรณ์ เช่น หมายเลขรุ่น, หมายเลขเวอร์ชัน, สถานะแบตเตอรี่, ชื่อผู้ให้บริการ และรายละเอียดที่เกี่ยวข้องอื่น ๆ พร้อมกับรายชื่อผู้ติดต่อจากอุปกรณ์ที่ติดมัลแวร์ไปยัง URL ของบอท Telegram: hxxps://api[.]telegram.org/bot7487929666: AAHotf1RHqgk6W0WbFjXywI458I9r9CmxiM/sendDocument

เมื่อเข้าถึง URL ของ Firebase จะพบการตอบกลับในรูปแบบของ JSON ซึ่งรวมถึงหมายเลขโทรศัพท์ของประเทศอินเดีย และข้อความแบบสุ่มตามภาพด้านล่าง

อย่างไรก็ตาม URL ที่คล้ายกันอีกอันคือ "hxxps://hookuptolookup-default-rtdb[.]firebaseio.com/-1002118750305/.json" ซึ่งจัดการข้อมูลหมายเลขโทรศัพท์ และข้อความต่าง ๆ แอปพลิเคชันอื่น ๆ ในแคมเปญเดียวกันใช้ URL นี้เช่นกัน ภาพด้านล่างแสดงข้อมูลที่มีอยู่ในไฟล์ JSON ที่ดึงมาจาก Firebase

ภาพด้านบน ภายใน ID : 11357 ข้อความ SMS นี้ เริ่มต้นด้วยคำว่า "SIMPL" ซึ่งแสดงให้เห็นว่าเกี่ยวกับกระบวนการตรวจสอบของแอป Sipml Simpl เป็นแอป Buy Now, Pay Later (BNPL) ในประเทศอินเดียที่ช่วยให้ผู้ใช้ทำการซื้อสินค้าออนไลน์ได้ โดยเมื่อผู้ใช้พยายามลงทะเบียนแอปพลิเคชัน Sipml โดยใช้หมายเลขโทรศัพท์มือถือ แอปพลิเคชันจะส่ง SMS ที่มีรหัสยืนยันที่เริ่มต้นด้วย "SIMPL"

คำแนะนำ

  • ดาวน์โหลด และติดตั้งซอฟต์แวร์จาก App Store อย่างเป็นทางการเท่านั้น เช่น Google Play Store หรือ iOS App Store
  • ใช้ซอฟแวร์ป้องกันไวรัส และซอฟต์แวร์ด้านความปลอดภัยทางอินเทอร์เน็ตที่มีชื่อเสียงบนอุปกรณ์ใช้งาน
  • ใช้รหัสผ่านที่รัดกุม และเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัยทุกครั้งที่เป็นไปได้
  • เปิดใช้งานคุณสมบัติความปลอดภัยไบโอเมตริกซ์ เช่น ลายนิ้วมือ หรือการจดจำใบหน้า เพื่อปลดล็อคอุปกรณ์หากสามารถทำได้
  • ระวังการเปิดลิงก์ที่ได้รับทาง SMS หรืออีเมลที่ส่งไปยังโทรศัพท์
  • ตรวจสอบให้แน่ใจว่าเปิดใช้งาน Google Play Protect บนอุปกรณ์ Android
  • ใช้ความระมัดระวังในขณะที่เปิดใช้งานการอนุญาตสิทธิ์ใด ๆ
  • อัปเดตอุปกรณ์ ระบบปฏิบัติการ และแอปพลิเคชันอยู่เสมอ

MITRE ATT&CK® Techniques

Indicators of Compromise (IOCs)

ที่มา : cyble.com