มัลแวร์ Banking ตัวใหม่บนระบบ Android ที่นักวิจัยตั้งชื่อว่า Massiv กำลังแฝงตัวมาในรูปแบบของแอปพลิเคชัน IPTV เพื่อขโมยข้อมูล Digital Identities และเข้าถึงบัญชี Banking ออนไลน์
มัลแวร์ตัวนี้อาศัยการสร้าง Screen Overlays และ Keylogging เพื่อขโมยข้อมูล Sensitive data และยังสามารถเข้าควบคุมอุปกรณ์ที่ถูกโจมตีได้จากระยะไกล
ในแคมเปญการโจมตีที่ถูกตรวจสอบโดยนักวิจัยจาก ThreatFabric (บริษัทผู้เชี่ยวชาญการตรวจจับการฉ้อโกง และวิเคราะห์ภัยคุกคามบนมือถือ) พบว่า Massiv พุ่งเป้าไปที่แอปพลิเคชันของรัฐบาลโปรตุเกส ซึ่งเชื่อมต่อกับระบบ Chave Móvel Digital หรือระบบการยืนยันตัวตน และ Digital Signature ของโปรตุเกส
บริการทั้งสองส่วนนี้ประกอบไปด้วยข้อมูลของผู้ใช้ ซึ่งอาจถูกนำไปใช้เพื่อหลบเลี่ยงในขั้นตอนการยืนยันตัวตน (KYC) หรือนำไปใช้เข้าถึงบัญชีธนาคาร รวมถึงบริการออนไลน์อื่น ๆ ทั้งของภาครัฐ และเอกชน
รายงานของ ThreatFabric ระบุว่า "งานวิจัยของ MTI ตรวจพบกรณีที่มีการเปิดบัญชีใหม่ในชื่อของเหยื่อ (ผู้ใช้งานอุปกรณ์ที่ติดมัลแวร์) กับธนาคาร และบริการแห่งใหม่ (ที่เหยื่อไม่เคยใช้งานมาก่อน)"
"เนื่องจากบัญชีเหล่านั้นอยู่ภายใต้การควบคุมของมิจฉาชีพโดยสมบูรณ์ พวกเขาจึงสามารถนำบัญชีไปใช้เป็นส่วนหนึ่งของขบวนการฟอกเงิน รวมถึงการขอกู้สินเชื่อ และกดเงินสดออกมา ปล่อยให้เหยื่อที่ไม่รู้เรื่องราวต้องมาแบกรับภาระหนี้สินกับธนาคารที่พวกเขาไม่เคยไปเปิดบัญชีด้วยตัวเองเลย"
มัลแวร์ Massiv มีโหมดการควบคุมจากระยะไกลให้มิจฉาชีพเลือกใช้งาน 2 รูปแบบ ได้แก่ โหมด Screen Live-streaming ซึ่งทำงานผ่าน MediaProjection API ของ Android และโหมด UI-tree ที่ทำหน้าที่ดึงข้อมูลเชิงโครงสร้างจากระบบ Accessibility Service
สำหรับโหมด UI-tree นี้จะดึงข้อมูลต่าง ๆ ออกมา ไม่ว่าจะเป็นข้อความที่ปรากฏบนหน้าจอ, ชื่อองค์ประกอบของ Interface, พิกัดบนหน้าจอ และคุณลักษณะการโต้ตอบต่าง ๆ ซึ่งช่วยให้ผู้โจมตีสามารถสั่งคลิกปุ่ม, พิมพ์แก้ไขข้อความ และทำสิ่งอื่น ๆ ได้อีกมากมาย
โหมดที่สองนี้มีประสิทธิภาพอย่างมากในการนำมาใช้เพื่อหลบเลี่ยงระบบป้องกันการจับภาพหน้าจอ (Screen-capture Protections) ซึ่งมักจะถูกเปิดใช้งานอยู่ในแอปพลิเคชันของธนาคาร, แอปเพื่อการสื่อสาร และแอปอื่น ๆ ที่เก็บข้อมูล Sensitive เอาไว้
การใช้แอป IPTV เป็นเหยื่อล่อกำลังเพิ่มสูงขึ้น
แนวโน้มที่น่าสนใจซึ่ง ThreatFabric พบจากการค้นพบมัลแวร์ Massiv คือ การนำแอปพลิเคชัน IPTV มาใช้เป็นเหยื่อล่อเพื่อแพร่กระจายมัลแวร์บนระบบ Android เพิ่มมากขึ้น โดยเทคนิคนี้ถูกนำมาใช้อย่างแพร่หลายมากขึ้นในช่วง 8 เดือนที่ผ่านมา
โดยทั่วไปแล้ว แอปพลิเคชันเหล่านี้มักเกี่ยวข้องกับการละเมิดลิขสิทธิ์ จึงไม่สามารถหาดาวน์โหลดได้บน Google Play เนื่องจากขัดต่อนโยบาย ดังนั้น การดาวน์โหลดไฟล์ในรูปแบบ APK จากช่องทางที่ไม่เป็นทางการจึงถือเป็นเรื่องปกติสำหรับกลุ่มผู้ใช้แอปเหล่านี้ ซึ่งคุ้นเคยกับการติดตั้งแอปพลิเคชันจากแหล่งภายนอกอยู่แล้ว
ในกรณีส่วนใหญ่ แอป IPTV เหล่านี้มักจะเป็นแอปปลอมที่ไม่ได้ให้รับชมรายการละเมิดลิขสิทธิ์ได้จริง ๆ และไฟล์ APK ดังกล่าวก็ทำหน้าที่เป็นเพียงแค่ตัวปล่อยมัลแวร์เพื่อติดตั้งโค้ดอันตรายลงในเครื่อง นอกจากนี้ในบางกรณี แอปอาจใช้วิธีแสดงหน้าเว็บไซต์ IPTV ที่เปิดดูได้จริงผ่านหน้าต่าง WebView เพื่อตบตาให้ผู้ใช้หลงเชื่อ
นักวิจัยรายงานว่า มัลแวร์ประเภท Dropper ที่แฝงตัวมาในคราบของแอป IPTV ปลอมเหล่านี้ มุ่งเป้าการโจมตีไปที่ผู้ใช้งานในประเทศสเปน, โปรตุเกส, ฝรั่งเศส และตุรกีเป็นหลัก
ขอแนะนำให้ผู้ใช้งาน Android ดาวน์โหลดเฉพาะแอปที่ผ่านการตรวจสอบจากผู้พัฒนาที่น่าเชื่อถือผ่านช่องทางที่เป็นทางการ (Google Play) เท่านั้น รวมถึงเปิดใช้งาน Play Protect เอาไว้เสมอ และหมั่นใช้ฟีเจอร์นี้สแกนอุปกรณ์อย่างสม่ำเสมอ
ที่มา : bleepingcomputer
You must be logged in to post a comment.