แอปพลิเคชันมัลแวร์บน Android ชื่อ SpyLend ถูกดาวน์โหลดไปแล้วกว่า 100,000 ครั้งจาก Google Play ซึ่งปลอมเป็นเครื่องมือทางการเงิน แต่แท้ที่จริงแล้วเป็นแอปพลิเคชันปล่อยเงินกู้ที่เอาเปรียบผู้ใช้งานในอินเดีย
แอปพลิเคชันนี้อยู่ในกลุ่มแอปพลิเคชันอันตรายบน Android ที่เรียกว่า "SpyLoan" ซึ่งปลอมตัวเป็นเครื่องมือทางการเงิน หรือบริการสินเชื่อที่ถูกต้อง แต่แท้จริงแล้วเป็นแอปพลิเคชันที่ขโมยข้อมูลจากอุปกรณ์เพื่อนำไปใช้ในการปล่อยเงินกู้ที่เอาเปรียบผู้ใช้งาน
แอปพลิเคชันเหล่านี้หลอกผู้ใช้งานว่าจะให้สินเชื่อที่รวดเร็ว และง่ายดาย โดยส่วนใหญ่ต้องการเอกสารน้อย และมีเงื่อนไขที่น่าสนใจ อย่างไรก็ตาม เมื่อติดตั้งแอปพลิเคชันแล้ว แอปพลิเคชันจะขอสิทธิ์การเข้าถึงเกินความจำเป็น ทำให้สามารถขโมยข้อมูลส่วนตัว เช่น รายชื่อผู้ติดต่อ, ประวัติการโทร, ข้อความ SMS, รูปภาพ และตำแหน่งที่ตั้งของอุปกรณ์ได้
ข้อมูลที่ถูกเก็บรวบรวมนี้จะถูกนำไปใช้ในการคุกคาม, ข่มขู่ และแบล็กเมล์ผู้ใช้งาน โดยเฉพาะหากผู้ใช้งานไม่สามารถชำระเงินตามเงื่อนไขของแอปพลิเคชันได้
กลโกงสินเชื่อ และการขู่กรรโชก
บริษัทรักษาความปลอดภัยทางไซเบอร์ CYFIRMA พบแอปพลิเคชันบน Android ชื่อ "Finance Simplified" ซึ่งอ้างว่าเป็นแอปพลิเคชันจัดการด้านการเงิน และมียอดดาวน์โหลดถึง 100,000 ครั้งบน Google Play
อย่างไรก็ตาม CYFIRMA ระบุว่าแอปพลิเคชันมีพฤติกรรมที่เป็นอันตรายมากขึ้นในบางประเทศ เช่น อินเดีย ซึ่งแอปพลิเคชันนี้จะขโมยข้อมูลจากอุปกรณ์ของผู้ใช้งานเพื่อนำไปใช้ในการปล่อยเงินกู้ที่เอาเปรียบผู้ใช้ นอกจากนี้ นักวิจัยยังค้นพบไฟล์ APK อันตรายเพิ่มเติมที่ดูเหมือนเป็นรูปแบบหนึ่งของแคมเปญมัลแวร์เดียวกัน ได้แก่ KreditApple, PokketMe และ StashFur
แม้ว่าแอปพลิเคชันดังกล่าวจะถูกลบออกจาก Google Play แล้ว แต่แอปพลิเคชันนึัอาจยังทำงานอยู่ในเบื้องหลัง และรวบรวมข้อมูลที่สำคัญจากอุปกรณ์ที่ติดมัลแวร์ต่อไป
บทวิจารณ์จากผู้ใช้งานหลายรายบน Google Play ระบุว่าแอปพลิเคชัน Finance Simplified ให้บริการสินเชื่อ โดยพยายามขู่กรรโชกผู้กู้หากพวกเขาไม่ยอมจ่ายดอกเบี้ยในอัตราที่สูง
รีวิวจากผู้ใช้งานสำหรับแอปพลิเคชันที่ถูกลบออกไปนี้เขียนว่า "แอปแย่มาก ๆ พวกเขาให้สินเชื่อในจำนวนที่ต่ำ และแบล็กเมล์ให้จ่ายดอกเบี้ยสูง มิฉะนั้นจะตัดต่อรูปภาพให้เป็นภาพโป๊ และใช้ในการข่มขู่"
แอปพลิเคชันเหล่านี้ยังอ้างว่าได้รับการจดทะเบียนบริษัททางการเงินนอกระบบ (NBFCs) ซึ่ง CYFIRMA ระบุว่าไม่เป็นความจริง
เพื่อหลีกเลี่ยงการตรวจจับบน Google Play แอปพลิเคชัน Finance Simplified จะโหลด WebView เพื่อเปลี่ยนเส้นทางของผู้ใช้งานไปยังเว็บไซต์ภายนอก จากนั้นจะให้ผู้ใช้งานดาวน์โหลดไฟล์ APK ของแอปพลิเคชันสินเชื่อที่โฮสต์บนเซิร์ฟเวอร์ Amazon EC2
CYFIRMA อธิบายว่า "แอป Finance Siimple ดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวอินเดียโดยเฉพาะ โดยการแสดง และแนะนำการสมัครสินเชื่อ โดยโหลด WebView ที่แสดงบริการสินเชื่อที่เปลี่ยนเส้นทางไปยังเว็บไซต์ภายนอกที่มีการดาวน์โหลดไฟล์ APK สินเชื่อแยกต่างหาก"
นักวิจัยพบว่าแอปพลิเคชันจะโหลดอินเทอร์เฟซที่หลอกลวงหากตำแหน่งของผู้ใช้งานคือประเทศอินเดีย ซึ่งแสดงให้เห็นว่าแคมเปญนี้มีการกำหนดเป้าหมายเฉพาะ
ข้อมูลที่สำคัญที่ถูกขโมย
กิจกรรมของมัลแวร์นี้คือการเก็บข้อมูล ซึ่งรวมถึงข้อมูลส่วนบุคคลที่สำคัญที่จัดเก็บไว้ในอุปกรณ์ของผู้ใช้งาน ตัวอย่างด้านล่างเป็นข้อมูลที่ถูกขโมยโดยมัลแวร์
- รายชื่อผู้ติดต่อ, ประวัติการโทร, ข้อความ SMS และรายละเอียดอุปกรณ์
- รูปภาพ, วิดีโอ และเอกสารจากหน่วยความจำภายใน และภายนอก
- การติดตามตำแหน่งแบบเรียลไทม์ (อัปเดตทุก ๆ 3 วินาที), ข้อมูลตำแหน่งย้อนหลัง และที่อยู่ IP
- ข้อความล่าสุด 20 รายการที่ถูกคัดลอกจากคลิปบอร์ด
- ประวัติการกู้ยืม และข้อความการทำธุรกรรมจาก SMS ของธนาคาร
แม้ว่าข้อมูลเหล่านี้จะถูกใช้หลัก ๆ ในการข่มขู่เหยื่อจากการสมัครสินเชื่อ แต่ข้อมูลเหล่านี้อาจถูกใช้ในการทุจริตทางการเงิน หรือถูกขายให้กับอาชญากรไซเบอร์เพื่อหาผลประโยชน์ได้เช่นกัน
หากคุณสงสัยว่าอุปกรณ์ของคุณถูกติดมัลแวร์จากแอปพลิเคชันใด ๆ ที่กล่าวถึง หรือแอปที่คล้ายกัน ควรดำเนินการดังนี้
- ลบแอปพลิเคชันที่น่าสงสัยออกจากอุปกรณ์
- รีเซ็ตสิทธิ์การเข้าถึง สำหรับแอปพลิเคชันที่ติดตั้งอยู่ในอุปกรณ์
- เปลี่ยนรหัสผ่านบัญชีธนาคาร เพื่อปกป้องข้อมูลทางการเงิน
- สแกนอุปกรณ์ เพื่อหามัลแวร์ และทำการลบออก
เครื่องมือ Google Play Protect ของ Google ตรวจจับ และบล็อกแอปพลิเคชันมัลแวร์ และแอปพลิเคชันที่เป็นอันตรายจากการปล่อยเงินกู้ที่เอาเปรียบ ดังนั้น ควรตรวจสอบให้แน่ใจว่าเครื่องมือ Play Protect เปิดใช้งานอยู่ในอุปกรณ์ของคุณ
ที่มา : bleepingcomputer
You must be logged in to post a comment.