มีการค้นพบมัลแวร์ตัวใหม่บนระบบปฏิบัติการ Android ชื่อ 'DevilNFC' ซึ่งทำงานโดยการผสานวิธีการโจมตีแบบ NFC relay ร่วมกับการใช้ Kiosk Mode เพื่อล็อกหน้าจอของเหยื่อให้อยู่ในหน้าต่างแอปธนาคารปลอม จนกว่าข้อมูลบัตรเครดิต หรือบัตรเดบิตจะถูกขโมยไปสำเร็จ
มัลแวร์ดังกล่าวมีเป้าหมายในการโจมตีกลุ่มผู้ใช้งานธนาคารทั่วภูมิภาคยุโรป และละตินอเมริกา โดยมีความแม่นยำทางเทคนิคขั้นสูงที่ไม่ค่อยพบเห็นในเครื่องมือที่ถูกสร้างขึ้นมาโดยผู้โจมตีอิสระทั่วไป โดยจะแตกต่างจากภัยคุกคามในอดีต เนื่องจากมัลแวร์ DevilNFC ไม่ได้พึ่งพาโครงสร้างพื้นฐานร่วมกัน หรือมีการหยิบยืมโค้ดของผู้อื่นมาใช้งาน แต่ถูกเขียน และพัฒนาขึ้นใหม่ทั้งหมดตั้งแต่เริ่มต้นโดยกลุ่มผู้ไม่หวังดีที่มีเอกลักษณ์เฉพาะตัว
การโจมตีจะเริ่มต้นจากการส่งข้อความ Phishing ผ่านทาง SMS หรือ WhatsApp เพื่อหลอกให้เหยื่อกดเข้าไปยังหน้าเว็บไซต์ปลอม ที่มีการปลอมแปลงหน้าตาให้เหมือนกับ Google Play Store
จากนั้นหน้าเว็บไซต์ดังกล่าวจะแสดงแอปพลิเคชันที่เป็นอันตรายในรูปแบบของการอัปเดตระบบความปลอดภัยที่จำเป็นต้องทำ โดยแอบอ้างชื่อของสถาบันการเงิน หรือธนาคารที่ใช้ภาษาสเปนที่มีความน่าเชื่อถือ ซึ่งทันทีที่ได้รับการติดตั้ง มัลแวร์จะเปิดทำงานทันที และส่งผลให้เหยื่อสูญเสียการควบคุมอุปกรณ์ของตนเองโดยไม่รู้ตัว
นักวิเคราะห์จาก Cleafy ซึ่งเป็นทีมวิเคราะห์ภัยคุกคาม และตอบสนองต่อเหตุการณ์ ที่ทำหน้าที่ตรวจพบ และวิเคราะห์มัลแวร์ดังกล่าวระบุว่า DevilNFC คือตระกูลมัลแวร์ประเภท NFC relay ที่มีสถาปัตยกรรมที่มีความก้าวหน้า และล้ำสมัยที่สุดในบรรดา 2 ตระกูลมัลแวร์ใหม่ที่เพิ่งถูกบันทึกไว้ในระบบ โดยมัลแวร์อีกตัวหนึ่งคือ NFCMultiPay
บริษัท Cleafy ระบุในรายงานที่เปิดเผยกับสำนักข่าว Cyber Security News (CSN) ว่า แม้ว่ามัลแวร์ทั้งสองตระกูลนี้จะไม่มีการใช้โค้ด หรือโครงสร้างพื้นฐานร่วมกัน แต่มัลแวร์ทั้ง 2 ตัวนั้นกำลังดำเนินการโจมตีในรูปแบบ NFC relay ต่อกลุ่มลูกค้าธนาคารอยู่ในขณะนี้ ซึ่งการปรากฏตัวพร้อมกันของภัยคุกคามเหล่านี้ในพื้นที่เดียวกัน ถือเป็นจุดเปลี่ยนสำคัญของสถานการณ์ภัยคุกคามในรูปแบบ NFC relay
มัลแวร์ DevilNFC สำหรับ Android ด้วยโหมด Kiosk
สิ่งที่ทำให้มัลแวร์ DevilNFC น่าสนใจเป็นพิเศษ คือวิธีการที่มันสามารถตัดขาด และแยกเหยื่อออกจากระบบโดยสิ้นเชิง โดยทันทีที่เปิดใช้งาน มัลแวร์จะทำการล็อกอุปกรณ์ด้วยโหมด Kiosk ของ Android พร้อมทั้งแสดงหน้าต่างหลอกลวง ที่ดึงข้อมูลมาจากเซิร์ฟเวอร์ C2
จากการแกะรอยซอร์สโค้ดของวิธีดังกล่าว นักวิเคราะห์ยังพบความน่าสนใจเพิ่มเติม ซึ่งเป็นร่องรอยการใช้ AI ช่วยเขียนโค้ดที่พบในมัลแวร์ทั้งสองตระกูลโดยพฤติกรรมจะแสดงให้เห็นว่า แถบระบบควบคุมหลักจะหายไป และปุ่มย้อนกลับบนตัวเครื่องจะถูกปิดการทำงาน ส่งผลให้เหยื่อติดอยู่ภายในหน้าต่างแอปพลิเคชันปลอมในระหว่างที่กระบวนการดำเนินการจนเสร็จสิ้น ทั้งนี้ มัลแวร์ทั้งสองตระกูลแสดงให้เห็นถึงรูปแบบการพัฒนาซอฟต์แวร์ที่สอดคล้องกับการใช้เครื่องมือช่วยเหลือจาก Generative AI
รูปแบบหน้าต่าง phishing ที่ถูกออกแบบมาอย่างซับซ้อนเกินความจำเป็นในมัลแวร์ DevilNFC ร่วมกับการเก็บบันทึกประวัติการทำงาน ในรูปแบบอิโมจิที่มีลักษณะเฉพาะของ LLM ในมัลแวร์ NFCMultiPay นั้น แสดงให้เห็นว่ากลุ่มผู้ปฏิบัติการโจมตีได้มีการใช้งานโมเดล AI ประเภทที่ไม่จำกัดสิทธิ์ความปลอดภัย ควบคู่ไปกับโค้ดของมัลแวร์ที่รั่วไหลอยู่ใน Public repositories ซึ่งส่งผลให้ขีดจำกัดทางเทคนิคในการสร้างมัลแวร์แอนดรอยด์นั้นลดต่ำลงเป็นอย่างมาก
ทันทีที่ผู้เสียหายเปิดใช้งานแอปพลิเคชัน มัลแวร์ DevilNFC จะสั่งเปิดทำงานโหมดKiosk เพื่อซ่อนแถบระบบควบคุมหลัก พร้อมทั้งทำการเขียนทับคำสั่งของปุ่มย้อนกลับบนตัวเครื่อง ด้วยฟังก์ชันที่ไม่มีการตอบสนองใด ๆ
วิธีนี้จะล็อคเหยื่อไว้ภายในหน้าต่างแอปพลิเคชันอันตราย ในขณะที่ Relay session ดำเนินการอยู่เบื้องหลัง จากนั้นหน้าต่างป๊อปอัปตรวจสอบข้อมูลปลอม ซึ่งแสดงผลจากระยะไกลจากเทมเพลตบนเซิร์ฟเวอร์ควบคุม (C2) จะแสดงขึ้นมาเพื่อหลอกให้ผู้เสียหายป้อนรหัส PIN ของบัตรจำนวน 4 หลัก หลังจากที่มีการแตะบัตรครั้งแรก
รหัส PIN ดังกล่าวจะถูกส่งออกไปยังปลายทางสองแห่งพร้อมกันในเวลาเดียว ได้แก่ C2 server ที่กำหนดไว้ และช่อง Telegram ส่วนตัวของกลุ่มผู้โจมตี โดยข้อมูลที่ถูกส่งไปนั้นจะอยู่ในรูปแบบข้อความธรรมดาที่ไม่มีการเข้ารหัส พร้อมแนบชื่อธนาคาร และ Public IP address ของผู้เสียหายไปด้วย
จากนั้น หน้าต่างแอปพลิเคชันจะแสดงข้อความแจ้งเตือนความผิดพลาดในการตรวจสอบข้อมูลแบบปลอม ๆ พร้อมทั้งแนะนำให้ผู้เสียหายแตะบัตรค้างเอาไว้กับตัวเครื่องเพิ่มเติมอีกเป็นเวลา 10 วินาที
สิ่งนี้คือความตั้งใจในการขยายระยะเวลาของ Relay window เพื่อให้มั่นใจว่ากระบวนการทำธุรกรรมทางการเงินจะเสร็จสิ้นอย่างสมบูรณ์ ก่อนที่จะมีการแสดงหน้าจอแจ้งผลสำเร็จใด ๆ ออกมา
มัลแวร์ DevilNFC ใช้สถาปัตยกรรมไฟล์ APK แบบสองบทบาท ซึ่งแอปพลิเคชันเดียวกันสามารถทำหน้าที่เป็นทั้งตัวลักลอบอ่านข้อมูล NFC แบบพาสซีฟ บนอุปกรณ์ของผู้เสียหายที่ไม่ต้องผ่านการดัดแปลงระบบ และทำหน้าที่เป็นเครื่องจำลองบัตรเครดิต บนอุปกรณ์ที่ผ่านการดัดแปลงระบบของผู้โจมตี
วิธีการนี้จะสำเร็จได้ด้วยการใช้ Hooking framework เข้าไปฝัง Relay module ของ DevilNFC โดยตรงในกระบวนการทำงานเบื้องหลังของระบบ NFC บน Android ส่งผลให้เกิดเครือข่ายการส่งต่อข้อมูลที่มีประสิทธิภาพ ซึ่งสามารถอนุมัติการถอนเงินสดจากตู้ ATM รวมถึงการทำธุรกรรมผ่านระบบชิป และการป้อนรหัสผ่าน ณ จุดรับชำระเงินใด ๆ ก็ตามทั่วโลก
การพัฒนาซอฟต์แวร์โดยใช้ AI และการเปลี่ยนแปลงภัยคุกคามในวงกว้าง
มัลแวร์ทั้งสองตระกูลนี้ต่างมีตัวบ่งชี้ของการใช้ AI เข้ามาช่วยในกระบวนการพัฒนา โดยในมัลแวร์ DevilNFC นั้น พบว่ารูปแบบหน้าต่าง Phishing ที่ถูกส่งมาจากเซิร์ฟเวอร์ C2 ที่ทำงานอยู่ มีการออกแบบทางวิศวกรรมที่ซับซ้อนเกินความจำเป็น เมื่อเทียบกับฟังก์ชันการใช้งานจริง โดยมี CSS และ JavaScript ที่จัดโครงสร้างด้วยความแม่นยำทางสถาปัตยกรรมซอฟต์แวร์สูง ตลอดจนมีการจัดการข้อผิดพลาดในกรณีที่เกิดขึ้นได้ยาก
บันทึกการแก้ไขข้อผิดพลาดของมัลแวร์ NFCMultiPay แสดงให้เห็นถึงการจัดหมวดหมู่ตัวชี้วัดด้วยอีโมจิ และคั่นด้วยเส้นขอบอักขระ ASCII ซึ่งเป็นรูปแบบโครงสร้างระบบ Log ที่เป็นเอกลักษณ์เฉพาะของการใช้โมเดล LLM ในการสร้างขึ้นมา
แนวโน้มดังกล่าวได้รับการยืนยันโดยทีมวิจัยของ ESET ซึ่งในเดือนเมษายน 2025 ได้ตรวจพบมัลแวร์ NGate สายพันธุ์ใหม่ที่มุ่งเป้าโจมตีผู้ใช้งานในประเทศบราซิล โดยพบว่าซอร์สโค้ดที่ถูกฝังเข้าไปนั้น ปรากฏร่องรอยของการพัฒนาด้วย AI ในรูปแบบเดียวกัน พร้อมทั้งมีการใช้ชุดข้อความเป็นภาษาโปรตุเกส
กลุ่มอาชญากรไม่ได้ทำการซื้อสิทธิ์การเข้าถึงแพลตฟอร์มมัลแวร์จากประเทศจีนอีกต่อไปแล้ว แต่หันมาสร้างเครื่องมือโจมตีขึ้นมาด้วยตนเอง ทั้งนี้ นักวิจัยได้แนะนำให้ผู้ใช้งานหลีกเลี่ยงการติดตั้งแอปพลิเคชันจากแหล่งภายนอก, ห้ามป้อนรหัส PIN ของบัตรในเซสชันที่ตนเองไม่ได้เป็นผู้เริ่มต้นทำรายการ และรายงานไปยังธนาคารต้นสังกัดในทันที หากพบว่าอุปกรณ์ของตนถูกล็อกให้อยู่ในหน้าต่างแอปพลิเคชันแบบเต็มหน้าจอ
ที่มา : Cybersecuritynews
You must be logged in to post a comment.