เมื่อวันที่ 08 พฤษภาคม 2025 ที่ผ่านมาทาง Google ได้ประกาศเปิดตัวมาตรการรับมือรูปแบบใหม่ที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ (Artificial Intelligence - AI) เพื่อป้องกันการหลอกลวงใน Chrome, Search และ Android (more…)

Google ได้ปล่อยอัปเดตความปลอดภัยประจำเดือนสำหรับระบบ Android รวมถึงการแก้ไขช่องโหว่ด้านความปลอดภัย 46 รายการ โดยหนึ่งในนั้นเป็นช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีจริง (more…)

มีการพบมัลแวร์บน Android รูปแบบใหม่ที่ถูกซ่อนอยู่ภายในแอป Alpine Quest เวอร์ชันที่ถูกดัดแปลงเป็นโทรจัน ซึ่งถูกใช้งานโดยทหารรัสเซียในการวางแผนปฏิบัติการในเขตสงคราม

ผู้โจมตีโปรโมตแอป Alpine Quest Pro เวอร์ชันดัดแปลงนี้ผ่านทาง Telegram และ app catalogs ของรัสเซีย โดยโฆษณาว่าเป็นเวอร์ชันพรีเมียมที่ถูกแคร็ก และสามารถดาวน์โหลดไปใช้งานได้ฟรี (more…)

พบแพลตฟอร์ม malware-as-a-service (MaaS) ใหม่ที่ชื่อว่า 'SuperCard X' โดยมีเป้าหมายโจมตีอุปกรณ์ Android ผ่านการโจมตีแบบ NFC Relay ซึ่งช่วยให้สามารถทำธุรกรรมที่ point-of-sale และตู้ ATM โดยใช้ข้อมูลบัตรที่ถูกขโมยมา

SuperCard X เชื่อมโยงกับกลุ่มแฮ็กเกอร์ที่ใช้ภาษาจีน และมีลักษณะโค้ดที่คล้ายคลึงกับโปรเจกต์โอเพ่นซอร์ส NFCGate รวมถึงเวอร์ชันที่พัฒนาจากโปรเจกต์ดังกล่าวอย่าง NGate ซึ่งมีส่วนในการโจมตีในยุโรปตั้งแต่ปีที่แล้ว

แพลตฟอร์ม malware-as-a-service นี้ถูกโปรโมตผ่านช่องทาง Telegram ซึ่งยังมีการเสนอการสนับสนุนโดยตรงแก่ลูกค้า

SuperCard X ถูกพบโดยบริษัทด้านความปลอดภัยบนมือถือ Cleafy ซึ่งรายงานว่าได้พบการโจมตีที่ใช้มัลแวร์ Android นี้ในอิตาลี การโจมตีเหล่านี้ประกอบด้วยตัวอย่างมัลแวร์หลายตัวที่มีความแตกต่างกันเล็กน้อย ซึ่งแสดงให้เห็นว่าผู้ร่วมงานสามารถเลือกสร้างเวอร์ชันที่ปรับแต่งตามความต้องการเฉพาะของภูมิภาค หรือความต้องการอื่น ๆ ได้

การโจมตีของ SuperCard X ดำเนินไปอย่างไร

การโจมตีเริ่มต้นจากเหยื่อได้รับข้อความ SMS หรือ WhatsApp ปลอม ที่แอบอ้างว่าเป็นธนาคารของตน โดยอ้างว่ามีธุรกรรมที่น่าสงสัยเกิดขึ้น และขอให้เหยื่อติดต่อกลับผ่านหมายเลขโทรศัพท์เพื่อแก้ไขปัญหา

เมื่อเหยื่อติดต่อไปตามหมายเลขดังกล่าว จะมีมิจฉาชีพรับสายโดยแสร้งทำตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนของธนาคาร จากนั้นจะใช้วิธีการ social engineering เพื่อหลอกให้เหยื่อยืนยันหมายเลขบัตร และรหัส PIN หลังจากนั้นจะพยายามโน้มน้าวให้ผู้ใช้ยกเลิกการจำกัดวงเงินใช้จ่ายผ่านแอปธนาคารของตน

ในขั้นตอนสุดท้าย ผู้ไม่หวังดีจะหลอกให้เหยื่อติดตั้งแอปอันตรายที่ชื่อว่า "Reader" ซึ่งถูกปลอมแปลงให้ดูเหมือนเป็นเครื่องมือด้านความปลอดภัย หรือการยืนยันตัวตน โดยภายในแอปนั้นแฝงมัลแวร์ SuperCard X เอาไว้

เมื่อผู้ใช้ติดตั้งแอป Reader แอปจะร้องขอสิทธิ์การเข้าถึงเพียงเล็กน้อย โดยส่วนใหญ่จะขอสิทธิ์ในการเข้าถึงโมดูล NFC ซึ่งเพียงพอสำหรับการขโมยข้อมูล

มิจฉาชีพจะสั่งให้เหยื่อนำบัตรชำระเงินมาแตะกับโทรศัพท์ของตนเองเพื่อยืนยันบัตร ซึ่งทำให้มัลแวร์สามารถอ่านข้อมูลจากชิปบนบัตร และส่งข้อมูลนั้นไปยังผู้โจมตี

จากนั้นผู้โจมตีจะรับข้อมูลดังกล่าวไว้ในอุปกรณ์ Android ของตน โดยใช้งานแอปอีกตัวที่ชื่อว่า Tapper ซึ่งทำหน้าที่จำลองการทำงานของบัตรเหยื่อด้วยข้อมูลที่ถูกขโมยมา

บัตรที่ถูกจำลองโดยผู้โจมตีสามารถใช้ชำระเงินแบบ contactless ตามร้านค้า หรือถอนเงินจากตู้ ATM ได้ แม้จะมีข้อจำกัดด้านวงเงิน โดยธุรกรรมเหล่านี้มักมีมูลค่าไม่สูง และดำเนินการได้ทันที ทำให้ดูเหมือนเป็นธุรกรรมปกติ จึงยากต่อการตรวจจับ และยกเลิกโดยธนาคาร

มัลแวร์หลบเลี่ยงการตรวจจับได้

Cleafy ระบุว่า ปัจจุบัน SuperCard X ยังไม่ถูกตรวจพบโดยเครื่องมือป้องกันไวรัสใด ๆ บน VirusTotal และการที่แอปไม่มีการขอสิทธิ์ที่เสี่ยง หรือฟีเจอร์ที่เป็นการโจมตีที่ชัดเจน เช่น การทับซ้อนหน้าจอ (screen overlaying) ทำให้มันสามารถหลบเลี่ยงการตรวจจับจากการสแกนพฤติกรรม (heuristic scans) ได้อย่างมีประสิทธิภาพ

การจำลองบัตรนั้นใช้เทคโนโลยี ATR-based (Answer to Reset) ซึ่งทำให้บัตรดูเหมือนจริง และสามารถทำงานร่วมกับเครื่องชำระเงินได้ นอกจากนี้ยังสะท้อนให้เห็นถึงความชำนาญทางเทคนิค และความเข้าใจในโปรโตคอลของสมาร์ตการ์ดอีกด้วย

อีกหนึ่งแง่มุมทางเทคนิคที่สำคัญคือการใช้ mutual TLS (mTLS) สำหรับการยืนยันตัวตนระหว่างไคลเอนต์ และเซิร์ฟเวอร์ที่ใช้ certificate-based ซึ่งช่วยป้องกันการเชื่อมต่อกับ C2 จากการ interception และการวิเคราะห์จากนักวิจัย หรือเจ้าหน้าที่ทางกฎหมาย

BleepingComputer ได้ติดต่อไปยัง Google เพื่อขอความคิดเห็นเกี่ยวกับกิจกรรมของ SuperCard X และโฆษกของ Google ได้ระบุคำแถลงการณ์ดังนี้:

“จากการตรวจสอบปัจจุบันของเรา ยังไม่พบแอปพลิเคชันที่มีมัลแวร์นี้อยู่บน Google Play ผู้ใช้ Android จะได้รับการปกป้องโดยอัตโนมัติจาก Google Play Protect ซึ่งเปิดใช้งานโดยค่าเริ่มต้นบนอุปกรณ์ Android ที่มี Google Play Services โดย Google Play Protect สามารถเตือนผู้ใช้หรือบล็อกแอปที่มีพฤติกรรมเป็นอันตราย แม้ว่าแอปเหล่านั้นจะมาจากแหล่งภายนอก Google Play ก็ตาม”

ที่มา : bleepingcomputer

Google ออกแพตช์ความปลอดภัยประจำเดือนเมษายน 2025 สำหรับระบบปฏิบัติการ Android เพื่อแก้ไขช่องโหว่ทั้งหมด 62 รายการ ซึ่งรวมถึงช่องโหว่ Zero-Day 2 รายการที่กำลังถูกใช้ในการโจมตีแบบกำหนดเป้าหมาย (more…)

แพลตฟอร์มให้บริการฟิชชิ่ง (PhaaS) ที่ชื่อว่า ‘Lucid’ ได้กำหนดเป้าหมายการโจมตีไปที่หน่วยงาน 169 แห่งใน 88 ประเทศ โดยใช้ข้อความที่ออกแบบมาอย่างแนบเนียนผ่าน iMessage (iOS) และ RCS (Android)

Lucid ซึ่งดำเนินการโดยกลุ่มอาชญากรไซเบอร์ชาวจีนที่รู้จักกันในชื่อ ‘XinXin’ มาตั้งแต่กลางปี 2023 ถูกขายให้กับแฮ็กเกอร์รายอื่นในรูปแบบการสมัครสมาชิก ซึ่งจะได้รับสิทธิ์เข้าถึงโดเมนฟิชชิ่งมากกว่า 1,000 รายการ เว็บไซต์ฟิชชิ่งที่สร้างขึ้นแบบ auto-generated และเครื่องมือส่งสแปมระดับมืออาชีพ

นักวิจัยจาก Prodaft ระบุว่า กลุ่ม XinXin ยังใช้แพลตฟอร์ม Darcula v3 สำหรับการดำเนินงาน ซึ่งอาจแสดงให้เห็นถึงความเชื่อมโยงระหว่างแพลตฟอร์ม PhaaS ทั้งสอง

การสมัครสมาชิก Lucid ดำเนินการผ่านช่องทาง Telegram เฉพาะ (มีสมาชิกประมาณ 2,000 คน) โดยลูกค้าจะได้รับสิทธิ์การใช้งานแบบรายสัปดาห์ผ่าน licenses การอนุญาต

ปฏิบัติการฟิชชิ่งครั้งใหญ่

กลุ่มผู้โจมตีอ้างว่าสามารถส่งข้อความหลอกลวงได้มากถึง 100,000 ข้อความต่อวัน ผ่านบริการ Rich Communication Services (RCS) หรือ Apple iMessage ซึ่งมีการเข้ารหัสแบบ end-to-end ทำให้สามารถหลบเลี่ยงการตรวจจับของระบบกรองสแปมได้

Prodaft อธิบายว่า “แพลตฟอร์มนี้ใช้กลไกการส่งข้อความแบบอัตโนมัติ โดยนำเว็บไซต์ฟิชชิ่งที่ปรับแต่งได้มาเผยแพร่ผ่านข้อความ SMS เป็นหลัก”

“เพื่อเพิ่มประสิทธิภาพในการโจมตี Lucid ใช้เทคโนโลยีของ Apple iMessage และ RCS บน Android ในการเลี่ยงระบบกรองสแปมของ SMS แบบดั้งเดิม ส่งผลให้อัตราการส่งถึงเป้าหมาย และความสำเร็จของการโจมตีเพิ่มขึ้นอย่างมาก”

นอกจากการหลบเลี่ยงระบบรักษาความปลอดภัยแล้ว การใช้ข้อความเหล่านี้ยังช่วยให้การดำเนินการมีต้นทุนต่ำ เนื่องจากการส่ง SMS ในปริมาณที่เทียบเท่ากันนั้นมีค่าใช้จ่ายสูง

ผู้ดำเนินการของ Lucid ใช้ฟาร์มอุปกรณ์ iOS และ Android ขนาดใหญ่ในการส่งข้อความ โดยสำหรับ iMessage แพลตฟอร์มนี้ใช้ Apple ID แบบชั่วคราว และในกรณีของ RCS กลุ่มผู้โจมตีอาศัยช่องโหว่ในการใช้งานของผู้ให้บริการในการตรวจสอบผู้ส่ง

ในวิดีโอที่ Prodaft เผยแพร่ แสดงให้เห็นกลุ่มผู้โจมตีกำลังทำแคมเปญฟิชชิ่งจากรถที่กำลังเคลื่อนที่ ซึ่งอาจเป็นวิธีเพิ่มความปลอดภัยในการปฏิบัติการ และยังแสดงให้เห็นว่าแพลตฟอร์มนี้ใช้งานได้ง่ายเพียงใด

Prodaft ให้ข้อมูลกับ BleepingComputer เพิ่มเติมว่า “วัตถุประสงค์หลักของการแสดงข้อความฟิชชิ่งจากอุปกรณ์ของเหยื่อระหว่างที่ขับรถ ก็เพื่อแสดงให้เห็นว่าบุคคลทั่วไปสามารถมีส่วนร่วมในปฏิบัติการแบบนี้ได้ง่ายเพียงใด”

“แฮ็กเกอร์บางรายอาจสนใจแคมเปญสแปมที่มีความเสี่ยงต่ำ และผลตอบแทนต่ำ ซึ่งไม่ต้องใช้ทักษะด้านเทคนิค หรือโครงสร้างพื้นฐานมากนัก โดยมักจะพึ่งพาเครื่องมือ virtualization หรืออุปกรณ์จริงที่ดัดแปลงมาใช้เพื่อส่งข้อความในปริมาณมากโดยอัตโนมัติ”

ข้อความฟิชชิ่งบนมือถือมักปลอมตัวเป็นการแจ้งเตือนเกี่ยวกับการจัดส่งพัสดุ, การเสียภาษี, ค่าผ่านทางที่ค้างชำระ โดยจะมีการใส่โลโก้ หรือแบรนด์ที่ออกแบบเฉพาะ ใช้ภาษาที่เหมาะสมกับกลุ่มเป้าหมาย และมีการคัดกรองเหยื่อโดยอิงตามตำแหน่งทางภูมิศาสตร์

เมื่อเหยื่อคลิกลิงก์ฟิชชิ่ง พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บไซต์ปลอมที่แอบอ้างเป็นหน่วยงานเก็บค่าผ่านทาง และที่จอดรถของรัฐบาล หรือองค์กรเอกชน เช่น USPS, DHL, Royal Mail, FedEx, Revolut, Amazon, American Express, HSBC, E-ZPass, SunPass, Transport for London และอื่น ๆ

หน้าเว็บไซต์ฟิชชิ่งถูกออกแบบมาเพื่อขโมยข้อมูลส่วนตัว และข้อมูลทางการเงิน รวมถึง ชื่อนามสกุล, อีเมล, ที่อยู่ และรายละเอียดบัตรเครดิต

แพลตฟอร์ม Lucid มีฟีเจอร์ตรวจสอบบัตรเครดิตในตัว ซึ่งช่วยให้ผู้โจมตีสามารถทดสอบความถูกต้องของบัตรที่ขโมยมาได้ หากบัตรยังใช้งานได้ จะถูกนำไปขายต่อให้กับอาชญากรไซเบอร์รายอื่น หรือใช้ในการฉ้อโกงโดยตรง

แพลตฟอร์มอย่าง Lucid ทำให้การเข้าร่วมในการดำเนินการทางอาชญากรรมไซเบอร์เป็นเรื่องง่ายขึ้น และยังมอบคุณภาพในระดับหนึ่งให้กับการโจมตีแบบฟิชชิ่ง ซึ่งเพิ่มโอกาสความสำเร็จของผู้โจมตีอย่างมาก

เมื่อรวมกับโครงสร้างพื้นฐานที่มีความแข็งแกร่ง และยืดหยุ่นสูง กลุ่มผู้โจมตีสามารถใช้ประโยชน์เพื่อดำเนินการแคมเปญฟิชชิ่งในระดับใหญ่ และเป็นระบบได้อย่างมีประสิทธิภาพ

หากได้รับข้อความบนอุปกรณ์ที่เร่งให้คลิกลิงก์ หรือให้ตอบกลับ อย่าโต้ตอบหรือคลิกใด ๆ ควรเข้าสู่ระบบของบริการนั้นโดยตรงผ่านช่องทางอย่างเป็นทางการ และตรวจสอบการแจ้งเตือน หรือใบเรียกเก็บเงินด้วยตนเองแทน

ที่มา : bleepingcomputer

แอปพลิเคชันอันตรายบน Android กว่า 300 แอป ซึ่งถูกดาวน์โหลดไปแล้วกว่า 60 ล้านครั้งจาก Google Play โดยแอปเหล่านี้ทำหน้าที่เป็น Adware หรือพยายามขโมยข้อมูล credentials และข้อมูลบัตรเครดิตของผู้ใช้ (more…)

Google ได้เผยแพร่ Android Security Bulletin หรือการอัปเดตด้านความปลอดภัย สำหรับเดือนมีนาคม 2025 เพื่อแก้ไขช่องโหว่ทั้งหมด 44 รายการ ซึ่งรวมถึงช่องโหว่ 2 รายการที่ Google ระบุว่ากำลังถูกใช้ในการโจมตีจริงอยู่ในปัจจุบัน

ช่องโหว่ที่มีระดับความรุนแรงสูง 2 รายการมีดังต่อไปนี้

CVE-2024-43093 - ช่องโหว่การยกระดับสิทธิ์ใน Framework component ซึ่งอาจส่งผลให้สามารถเข้าถึงไดเร็กทอรี "Android/data," "Android/obb," และ "Android/sandbox" และไดเร็กทอรีย่อยที่เกี่ยวข้องโดยไม่ได้รับอนุญาต
CVE-2024-50302 - ช่องโหว่การยกระดับสิทธิ์ใน HID USB component ของ Linux kernel ซึ่งอาจนำไปสู่การรั่วไหลของ kernel memory ที่ไม่ได้ถูกกำหนดค่า ไปยังผู้โจมตีในระดับ local ผ่าน HID reports ที่ถูกสร้างขึ้นมาเป็นพิเศษ

ที่น่าสังเกตคือ CVE-2024-43093 เคยถูก Google ระบุไว้ในคำแนะนำด้านความปลอดภัยประจำเดือนพฤศจิกายน 2024 ว่ากำลังถูกใช้ในการโจมตีเป็นวงกว้าง โดย Google ให้ข้อมูลกับ The Hacker News ว่า เป็นการเผยแพร่การแก้ไขที่อัปเดตสำหรับช่องโหว่นี้ จึงทำให้ CVE-2024-43093 อยู่ในคำแนะนำด้านความปลอดภัยสำหรับเดือนมีนาคม

ในทางกลับกัน CVE-2024-50302 เป็นหนึ่งในสามช่องโหว่ที่เชื่อมโยงกับช่องโหว่แบบ zero-day ที่ Cellebrite คิดค้นขึ้นเพื่อเจาะเข้าไปยังโทรศัพท์ Android ของนักเคลื่อนไหวเยาวชนชาวเซอร์เบียในเดือนธันวาคม 2024 และช่องโหว่นี้เกี่ยวข้องกับการใช้ CVE-2024-53104, CVE-2024-53197 และ CVE-2024-50302 เพื่อให้ได้รับสิทธิ์ที่สูงขึ้นด้วยการฝังสปายแวร์ที่เรียกว่า NoviSpy

โดยช่องโหว่ทั้งสามรายการอยู่ใน Linux kernel และได้รับการแก้ไขเมื่อปลายปีที่แล้ว ส่วน CVE-2024-53104 ได้รับการแก้ไขโดย Google ใน Android เมื่อเดือนที่ผ่านมา

ในคำแนะนำ Google ยอมรับว่าทั้ง CVE-2024-43093 และ CVE-2024-50302 เข้าข่ายการโจมตีที่มีเป้าหมายเฉพาะเจาะจง

Google ได้เผยแพร่แพตช์ความปลอดภัยสองระดับ คือ 1 มีนาคม 2025 และ 5 มีนาคม 2025 เพื่อให้ Android partners สามารถแก้ไขช่องโหว่บางส่วนที่คล้ายกันในอุปกรณ์ของ Android ทั้งหมดได้รวดเร็วขึ้น

ที่มา: thehackernews

นักวิจัยด้านความปลอดภัยทางไซเบอร์ค้นพบมัลแวร์บน Android เวอร์ชันใหม่ที่ชื่อ TgToxic (หรือที่รู้จักในชื่อของ ToxicPanda) ซึ่งบ่งชี้ว่ากลุ่มผู้ไม่หวังดีที่อยู่เบื้องหลังมัลแวร์ดังกล่าว ยังคงมีการพัฒนามัลแวร์อย่างต่อเนื่องเพื่อตอบสนองต่อการรายงานการโจมตีที่เกิดขึ้น (more…)

แอปพลิเคชันมัลแวร์บน Android ชื่อ SpyLend ถูกดาวน์โหลดไปแล้วกว่า 100,000 ครั้งจาก Google Play ซึ่งปลอมเป็นเครื่องมือทางการเงิน แต่แท้ที่จริงแล้วเป็นแอปพลิเคชันปล่อยเงินกู้ที่เอาเปรียบผู้ใช้งานในอินเดีย

แอปพลิเคชันนี้อยู่ในกลุ่มแอปพลิเคชันอันตรายบน Android ที่เรียกว่า "SpyLoan" ซึ่งปลอมตัวเป็นเครื่องมือทางการเงิน หรือบริการสินเชื่อที่ถูกต้อง แต่แท้จริงแล้วเป็นแอปพลิเคชันที่ขโมยข้อมูลจากอุปกรณ์เพื่อนำไปใช้ในการปล่อยเงินกู้ที่เอาเปรียบผู้ใช้งาน (more…)