มัลแวร์ NGate สายพันธุ์ใหม่ที่ขโมยข้อมูลการชำระเงินผ่าน NFC กำลังมุ่งเป้าการโจมตีไปยังผู้ใช้งานระบบ Android โดยทำการซ่อนตัวอยู่ในแอปพลิเคชันที่ชื่อ HandyPay ซึ่งเป็นเครื่องมือประมวลผลการชำระเงินบนมือถือที่ถูกต้อง แต่ถูกนำมาดัดแปลงเพื่อฝังมัลแวร์
มัลแวร์ NGate มีรายงานการค้นพบ และบันทึกไว้ครั้งแรกในช่วงกลางปี 2024 โดยมันจะทำการขโมยข้อมูลบัตรชำระเงินผ่านชิปสื่อสารระยะใกล้ (NFC) ที่อยู่บนอุปกรณ์มือถือ
ข้อมูลที่ขโมยมาได้จะถูกส่งไปยังแฮ็กเกอร์ ซึ่งจะนำข้อมูลดังกล่าวไปสร้างเป็นบัตรเสมือนจริง (Virtual cards) เพื่อนำไปใช้รูดซื้อสินค้าโดยไม่ได้รับอนุญาต หรือนำไปใช้กดถอนเงินสดจากตู้ ATM ที่รองรับระบบ NFC
ในเวอร์ชันก่อนหน้านี้ มัลแวร์ได้ใช้เครื่องมือแบบ Open-source ที่ชื่อว่า NFCGate เพื่อดักจับ, ส่งต่อ และดึงข้อมูลกลับมาใช้ซ้ำ ซึ่งเป็นข้อมูลของบัตรชำระเงิน
งานวิจัยชิ้นใหม่จากบริษัท ESET ได้ระบุรายละเอียดเกี่ยวกับมัลแวร์สายพันธุ์ใหม่นี้ว่า มันได้เปลี่ยนมาใช้แอปพลิเคชัน HandyPay ในเวอร์ชันที่ถูกฝังโค้ดอันตรายเข้าไป เพื่อเอื้ออำนวยต่อปฏิบัติการขโมยข้อมูล
ทีมนักวิจัยพบว่าโค้ดในมัลแวร์ NGate ตัวใหม่มี Emojis รวมอยู่ด้วย ซึ่งอาจเป็นสัญญาณบ่งบอกว่าแฮ็กเกอร์มีการใช้เครื่องมือ Generative AI เข้ามาช่วยในการพัฒนามัลแวร์ตัวนี้
แอปพลิเคชัน HandyPay เปิดให้ดาวน์โหลด และใช้งานบน Google Play มาตั้งแต่ปี 2021 โดยรองรับการส่งผ่านข้อมูลระหว่างอุปกรณ์โดยอาศัยระบบ NFC ซึ่งฟีเจอร์นี้นี่เองที่มัลแวร์ NGate นำมาใช้ในการโจมตีเพื่อลักลอบขโมย และส่งออกข้อมูลบัตรออกไป
ESET เชื่อว่าเหตุผลเบื้องหลังการเปลี่ยนจากการใช้ NFCGate มาเป็น HandyPay น่าจะเป็นเรื่องของค่าใช้จ่าย แต่การหลบเลี่ยงการตรวจจับก็มีบทบาทสำคัญเช่นกัน ทีมนักวิจัยเน้นย้ำถึงเครื่องมือสำหรับส่งต่อข้อมูล NFC ที่มีราคาสูง อย่างเช่น NFU Pay และ TX-NFC รวมถึงข้อเท็จจริงที่ว่าเครื่องมือเหล่านี้มักจะทิ้งร่องรอยให้สังเกตเห็นได้ง่าย ("Noisy") บนอุปกรณ์ที่ติดมัลแวร์
ESET อธิบายว่า "NFU Pay ลงโฆษณาขายเครื่องมือของตนในราคาเกือบ 400 ดอลลาร์สหรัฐฯ ต่อเดือน ในขณะที่ TX-NFC มีราคาอยู่ที่ประมาณ 500 ดอลลาร์สหรัฐฯ ต่อเดือน ในทางกลับกัน HandyPay นั้นมีราคาถูกกว่ามาก โดยขอเพียงแค่เงินบริจาค 9.99 ยูโรต่อเดือนเท่านั้น หรืออาจจะไม่ต้องเสียเงินเลยด้วยซ้ำ"
"นอกจากเรื่องราคาแล้ว โดยพื้นฐานของแอปพลิเคชัน HandyPay นั้นไม่จำเป็นต้องขอสิทธิ์การเข้าถึงใด ๆ เลย เพียงแค่ขอตั้งค่าเป็นแอปพลิเคชันชำระเงินเริ่มต้นของเครื่องเท่านั้น ซึ่งจะช่วยให้กลุ่มแฮ็กเกอร์สามารถหลีกเลี่ยงการทำให้ผู้ใช้งานเกิดความสงสัยได้"
ในส่วนของกลุ่มเป้าหมาย ESET รายงานว่า แคมเปญการโจมตีที่ใช้มัลแวร์สายพันธุ์ล่าสุดนี้ เริ่มมีความเคลื่อนไหวมาตั้งแต่เดือนพฤศจิกายน 2025 โดยมุ่งเป้าหมายหลักไปที่ผู้ใช้งานอุปกรณ์ระบบ Android ในประเทศบราซิล
แคมเปญการโจมตีนี้อาศัยวิธีการกระจายมัลแวร์ 2 วิธีด้วยกัน วิธีแรกคือการหลอกล่อให้ผู้ใช้งานดาวน์โหลดแอปพลิเคชันปลอมที่ชื่อว่า "Proteção Cartão" ซึ่งอ้างว่ามีฟีเจอร์ช่วยปกป้องบัตร โดยแอปพลิเคชันนี้มี host อยู่บนหน้าเว็บ Google Play ปลอม
วิธีที่สองใช้เว็บไซต์ลอตเตอรี่ปลอม โดยผู้เข้าชมจะถูกหลอกว่าถูกรางวัล และถูกเปลี่ยนเส้นทางไปยัง WhatsApp เพื่อติดต่อรับรางวัล ซึ่งในท้ายที่สุดจะนำไปสู่การดาวน์โหลดไฟล์ APK ที่เป็นอันตราย
หลังจากติดตั้งเสร็จ แอปพลิเคชันจะแจ้งให้ผู้ใช้ตั้งค่าให้มันเป็นแอปพลิเคชันชำระเงินผ่าน NFC เริ่มต้นของเครื่อง จากนั้นมันจะขอให้ผู้ใช้กรอกรหัส PIN ของบัตร และขอให้ผู้ใช้นำบัตรมาแตะที่ด้านหลังของโทรศัพท์มือถือเพื่ออ่านข้อมูล
ข้อมูลทั้งหมดที่รวบรวมมาด้วยวิธีนี้จะถูกส่งไปที่อีเมลของแฮ็กเกอร์ ซึ่งถูกฝังโค้ดเอาไว้ในตัวแอปพลิเคชันโดยตรง
ขอแนะนำให้ผู้ใช้งานระบบ Android ไม่ดาวน์โหลดไฟล์ APK จากแหล่งอื่นที่อยู่นอกเหนือจาก Google Play เป็นอันขาด เว้นแต่จะเชื่อถือผู้พัฒนาแอปพลิเคชันนั้นได้อย่างแท้จริง ควรปิดการใช้งาน NFC หากไม่จำเป็นต้องใช้ และหมั่นสแกนหาภัยคุกคามด้วยฟีเจอร์ Play Protect ซึ่งปัจจุบันสามารถตรวจจับ และบล็อกมัลแวร์ NGate สายพันธุ์ล่าสุดนี้ได้แล้ว
ที่มา : Bleepingcomputer
You must be logged in to post a comment.