มัลแวร์บน Google Play และ Apple App Store ถูกใช้เพื่อขโมยรูปภาพ และคริปโต

พบมัลแวร์ขโมยข้อมูลบนมือถือชนิดใหม่ที่ชื่อว่า SparkKitty ซึ่งถูกค้นพบใน Google Play และ Apple App Store โดยมีเป้าหมายโจมตีอุปกรณ์ทั้ง Android และ iOS

มัลแวร์ดังกล่าวอาจพัฒนามาจาก SparkCat ซึ่ง Kaspersky ค้นพบเมื่อเดือนมกราคมที่ผ่านมา โดย SparkCat ใช้ optical character recognition (OCR) เพื่อขโมย cryptocurrency wallet recovery phrases จากภาพที่บันทึกไว้ในอุปกรณ์ที่ติดมัลแวร์ (more…)

Google เปิดตัวระบบป้องกันด้วย AI บนอุปกรณ์ เพื่อตรวจจับการหลอกลวงใน Chrome และ Android

 

เมื่อวันที่ 08 พฤษภาคม 2025 ที่ผ่านมาทาง Google ได้ประกาศเปิดตัวมาตรการรับมือรูปแบบใหม่ที่ขับเคลื่อนด้วยปัญญาประดิษฐ์ (Artificial Intelligence - AI) เพื่อป้องกันการหลอกลวงใน Chrome, Search และ Android (more…)

อัปเดตด่วน !! Google ออกแพตช์แก้ไขช่องโหว่ใน Android (CVE-2025-27363) ที่กำลังถูกผู้ไม่หวังดีใช้ในการโจมตี

Google ได้ปล่อยอัปเดตความปลอดภัยประจำเดือนสำหรับระบบ Android รวมถึงการแก้ไขช่องโหว่ด้านความปลอดภัย 46 รายการ โดยหนึ่งในนั้นเป็นช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีจริง (more…)

กองทัพรัสเซียตกเป็นเป้าหมายของมัลแวร์บน Android ตัวใหม่ที่ซ่อนอยู่ในแอปแผนที่

มีการพบมัลแวร์บน Android รูปแบบใหม่ที่ถูกซ่อนอยู่ภายในแอป Alpine Quest เวอร์ชันที่ถูกดัดแปลงเป็นโทรจัน ซึ่งถูกใช้งานโดยทหารรัสเซียในการวางแผนปฏิบัติการในเขตสงคราม

ผู้โจมตีโปรโมตแอป Alpine Quest Pro เวอร์ชันดัดแปลงนี้ผ่านทาง Telegram และ app catalogs ของรัสเซีย โดยโฆษณาว่าเป็นเวอร์ชันพรีเมียมที่ถูกแคร็ก และสามารถดาวน์โหลดไปใช้งานได้ฟรี (more…)

มัลแวร์ SuperCard X บน Android ใช้บัตรที่ถูกขโมยในการโจมตีแบบ NFC Relay

พบแพลตฟอร์ม malware-as-a-service (MaaS) ใหม่ที่ชื่อว่า 'SuperCard X' โดยมีเป้าหมายโจมตีอุปกรณ์ Android ผ่านการโจมตีแบบ NFC Relay ซึ่งช่วยให้สามารถทำธุรกรรมที่ point-of-sale และตู้ ATM โดยใช้ข้อมูลบัตรที่ถูกขโมยมา

SuperCard X เชื่อมโยงกับกลุ่มแฮ็กเกอร์ที่ใช้ภาษาจีน และมีลักษณะโค้ดที่คล้ายคลึงกับโปรเจกต์โอเพ่นซอร์ส NFCGate รวมถึงเวอร์ชันที่พัฒนาจากโปรเจกต์ดังกล่าวอย่าง NGate ซึ่งมีส่วนในการโจมตีในยุโรปตั้งแต่ปีที่แล้ว

แพลตฟอร์ม malware-as-a-service นี้ถูกโปรโมตผ่านช่องทาง Telegram ซึ่งยังมีการเสนอการสนับสนุนโดยตรงแก่ลูกค้า

SuperCard X ถูกพบโดยบริษัทด้านความปลอดภัยบนมือถือ Cleafy ซึ่งรายงานว่าได้พบการโจมตีที่ใช้มัลแวร์ Android นี้ในอิตาลี การโจมตีเหล่านี้ประกอบด้วยตัวอย่างมัลแวร์หลายตัวที่มีความแตกต่างกันเล็กน้อย ซึ่งแสดงให้เห็นว่าผู้ร่วมงานสามารถเลือกสร้างเวอร์ชันที่ปรับแต่งตามความต้องการเฉพาะของภูมิภาค หรือความต้องการอื่น ๆ ได้

การโจมตีของ SuperCard X ดำเนินไปอย่างไร

การโจมตีเริ่มต้นจากเหยื่อได้รับข้อความ SMS หรือ WhatsApp ปลอม ที่แอบอ้างว่าเป็นธนาคารของตน โดยอ้างว่ามีธุรกรรมที่น่าสงสัยเกิดขึ้น และขอให้เหยื่อติดต่อกลับผ่านหมายเลขโทรศัพท์เพื่อแก้ไขปัญหา

เมื่อเหยื่อติดต่อไปตามหมายเลขดังกล่าว จะมีมิจฉาชีพรับสายโดยแสร้งทำตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนของธนาคาร จากนั้นจะใช้วิธีการ social engineering เพื่อหลอกให้เหยื่อยืนยันหมายเลขบัตร และรหัส PIN หลังจากนั้นจะพยายามโน้มน้าวให้ผู้ใช้ยกเลิกการจำกัดวงเงินใช้จ่ายผ่านแอปธนาคารของตน

ในขั้นตอนสุดท้าย ผู้ไม่หวังดีจะหลอกให้เหยื่อติดตั้งแอปอันตรายที่ชื่อว่า "Reader" ซึ่งถูกปลอมแปลงให้ดูเหมือนเป็นเครื่องมือด้านความปลอดภัย หรือการยืนยันตัวตน โดยภายในแอปนั้นแฝงมัลแวร์ SuperCard X เอาไว้

เมื่อผู้ใช้ติดตั้งแอป Reader แอปจะร้องขอสิทธิ์การเข้าถึงเพียงเล็กน้อย โดยส่วนใหญ่จะขอสิทธิ์ในการเข้าถึงโมดูล NFC ซึ่งเพียงพอสำหรับการขโมยข้อมูล

มิจฉาชีพจะสั่งให้เหยื่อนำบัตรชำระเงินมาแตะกับโทรศัพท์ของตนเองเพื่อยืนยันบัตร ซึ่งทำให้มัลแวร์สามารถอ่านข้อมูลจากชิปบนบัตร และส่งข้อมูลนั้นไปยังผู้โจมตี

จากนั้นผู้โจมตีจะรับข้อมูลดังกล่าวไว้ในอุปกรณ์ Android ของตน โดยใช้งานแอปอีกตัวที่ชื่อว่า Tapper ซึ่งทำหน้าที่จำลองการทำงานของบัตรเหยื่อด้วยข้อมูลที่ถูกขโมยมา

บัตรที่ถูกจำลองโดยผู้โจมตีสามารถใช้ชำระเงินแบบ contactless ตามร้านค้า หรือถอนเงินจากตู้ ATM ได้ แม้จะมีข้อจำกัดด้านวงเงิน โดยธุรกรรมเหล่านี้มักมีมูลค่าไม่สูง และดำเนินการได้ทันที ทำให้ดูเหมือนเป็นธุรกรรมปกติ จึงยากต่อการตรวจจับ และยกเลิกโดยธนาคาร

มัลแวร์หลบเลี่ยงการตรวจจับได้

Cleafy ระบุว่า ปัจจุบัน SuperCard X ยังไม่ถูกตรวจพบโดยเครื่องมือป้องกันไวรัสใด ๆ บน VirusTotal และการที่แอปไม่มีการขอสิทธิ์ที่เสี่ยง หรือฟีเจอร์ที่เป็นการโจมตีที่ชัดเจน เช่น การทับซ้อนหน้าจอ (screen overlaying) ทำให้มันสามารถหลบเลี่ยงการตรวจจับจากการสแกนพฤติกรรม (heuristic scans) ได้อย่างมีประสิทธิภาพ

การจำลองบัตรนั้นใช้เทคโนโลยี ATR-based (Answer to Reset) ซึ่งทำให้บัตรดูเหมือนจริง และสามารถทำงานร่วมกับเครื่องชำระเงินได้ นอกจากนี้ยังสะท้อนให้เห็นถึงความชำนาญทางเทคนิค และความเข้าใจในโปรโตคอลของสมาร์ตการ์ดอีกด้วย

อีกหนึ่งแง่มุมทางเทคนิคที่สำคัญคือการใช้ mutual TLS (mTLS) สำหรับการยืนยันตัวตนระหว่างไคลเอนต์ และเซิร์ฟเวอร์ที่ใช้ certificate-based ซึ่งช่วยป้องกันการเชื่อมต่อกับ C2 จากการ interception และการวิเคราะห์จากนักวิจัย หรือเจ้าหน้าที่ทางกฎหมาย

BleepingComputer ได้ติดต่อไปยัง Google เพื่อขอความคิดเห็นเกี่ยวกับกิจกรรมของ SuperCard X และโฆษกของ Google ได้ระบุคำแถลงการณ์ดังนี้:

“จากการตรวจสอบปัจจุบันของเรา ยังไม่พบแอปพลิเคชันที่มีมัลแวร์นี้อยู่บน Google Play ผู้ใช้ Android จะได้รับการปกป้องโดยอัตโนมัติจาก Google Play Protect ซึ่งเปิดใช้งานโดยค่าเริ่มต้นบนอุปกรณ์ Android ที่มี Google Play Services โดย Google Play Protect สามารถเตือนผู้ใช้หรือบล็อกแอปที่มีพฤติกรรมเป็นอันตราย แม้ว่าแอปเหล่านั้นจะมาจากแหล่งภายนอก Google Play ก็ตาม”

ที่มา : bleepingcomputer

Google แก้ไขช่องโหว่ Zero-Day บน Android ที่กำลังถูกใช้ในการโจมตี และช่องโหว่อีก 60 รายการ

Google ออกแพตช์ความปลอดภัยประจำเดือนเมษายน 2025 สำหรับระบบปฏิบัติการ Android เพื่อแก้ไขช่องโหว่ทั้งหมด 62 รายการ ซึ่งรวมถึงช่องโหว่ Zero-Day 2 รายการที่กำลังถูกใช้ในการโจมตีแบบกำหนดเป้าหมาย (more…)

แพลตฟอร์มฟิชชิ่ง ‘Lucid’ อยู่เบื้องหลังการโจมตีผ่าน SMS บน iOS และ Android

แพลตฟอร์มให้บริการฟิชชิ่ง (PhaaS) ที่ชื่อว่า ‘Lucid’ ได้กำหนดเป้าหมายการโจมตีไปที่หน่วยงาน 169 แห่งใน 88 ประเทศ โดยใช้ข้อความที่ออกแบบมาอย่างแนบเนียนผ่าน iMessage (iOS) และ RCS (Android)

Lucid ซึ่งดำเนินการโดยกลุ่มอาชญากรไซเบอร์ชาวจีนที่รู้จักกันในชื่อ ‘XinXin’ มาตั้งแต่กลางปี 2023 ถูกขายให้กับแฮ็กเกอร์รายอื่นในรูปแบบการสมัครสมาชิก ซึ่งจะได้รับสิทธิ์เข้าถึงโดเมนฟิชชิ่งมากกว่า 1,000 รายการ เว็บไซต์ฟิชชิ่งที่สร้างขึ้นแบบ auto-generated และเครื่องมือส่งสแปมระดับมืออาชีพ

นักวิจัยจาก Prodaft ระบุว่า กลุ่ม XinXin ยังใช้แพลตฟอร์ม Darcula v3 สำหรับการดำเนินงาน ซึ่งอาจแสดงให้เห็นถึงความเชื่อมโยงระหว่างแพลตฟอร์ม PhaaS ทั้งสอง

การสมัครสมาชิก Lucid ดำเนินการผ่านช่องทาง Telegram เฉพาะ (มีสมาชิกประมาณ 2,000 คน) โดยลูกค้าจะได้รับสิทธิ์การใช้งานแบบรายสัปดาห์ผ่าน licenses การอนุญาต

ปฏิบัติการฟิชชิ่งครั้งใหญ่

กลุ่มผู้โจมตีอ้างว่าสามารถส่งข้อความหลอกลวงได้มากถึง 100,000 ข้อความต่อวัน ผ่านบริการ Rich Communication Services (RCS) หรือ Apple iMessage ซึ่งมีการเข้ารหัสแบบ end-to-end ทำให้สามารถหลบเลี่ยงการตรวจจับของระบบกรองสแปมได้

Prodaft อธิบายว่า “แพลตฟอร์มนี้ใช้กลไกการส่งข้อความแบบอัตโนมัติ โดยนำเว็บไซต์ฟิชชิ่งที่ปรับแต่งได้มาเผยแพร่ผ่านข้อความ SMS เป็นหลัก”

“เพื่อเพิ่มประสิทธิภาพในการโจมตี Lucid ใช้เทคโนโลยีของ Apple iMessage และ RCS บน Android ในการเลี่ยงระบบกรองสแปมของ SMS แบบดั้งเดิม ส่งผลให้อัตราการส่งถึงเป้าหมาย และความสำเร็จของการโจมตีเพิ่มขึ้นอย่างมาก”

นอกจากการหลบเลี่ยงระบบรักษาความปลอดภัยแล้ว การใช้ข้อความเหล่านี้ยังช่วยให้การดำเนินการมีต้นทุนต่ำ เนื่องจากการส่ง SMS ในปริมาณที่เทียบเท่ากันนั้นมีค่าใช้จ่ายสูง

ผู้ดำเนินการของ Lucid ใช้ฟาร์มอุปกรณ์ iOS และ Android ขนาดใหญ่ในการส่งข้อความ โดยสำหรับ iMessage แพลตฟอร์มนี้ใช้ Apple ID แบบชั่วคราว และในกรณีของ RCS กลุ่มผู้โจมตีอาศัยช่องโหว่ในการใช้งานของผู้ให้บริการในการตรวจสอบผู้ส่ง

ในวิดีโอที่ Prodaft เผยแพร่ แสดงให้เห็นกลุ่มผู้โจมตีกำลังทำแคมเปญฟิชชิ่งจากรถที่กำลังเคลื่อนที่ ซึ่งอาจเป็นวิธีเพิ่มความปลอดภัยในการปฏิบัติการ และยังแสดงให้เห็นว่าแพลตฟอร์มนี้ใช้งานได้ง่ายเพียงใด

Prodaft ให้ข้อมูลกับ BleepingComputer เพิ่มเติมว่า “วัตถุประสงค์หลักของการแสดงข้อความฟิชชิ่งจากอุปกรณ์ของเหยื่อระหว่างที่ขับรถ ก็เพื่อแสดงให้เห็นว่าบุคคลทั่วไปสามารถมีส่วนร่วมในปฏิบัติการแบบนี้ได้ง่ายเพียงใด”

“แฮ็กเกอร์บางรายอาจสนใจแคมเปญสแปมที่มีความเสี่ยงต่ำ และผลตอบแทนต่ำ ซึ่งไม่ต้องใช้ทักษะด้านเทคนิค หรือโครงสร้างพื้นฐานมากนัก โดยมักจะพึ่งพาเครื่องมือ virtualization หรืออุปกรณ์จริงที่ดัดแปลงมาใช้เพื่อส่งข้อความในปริมาณมากโดยอัตโนมัติ”

ข้อความฟิชชิ่งบนมือถือมักปลอมตัวเป็นการแจ้งเตือนเกี่ยวกับการจัดส่งพัสดุ, การเสียภาษี, ค่าผ่านทางที่ค้างชำระ โดยจะมีการใส่โลโก้ หรือแบรนด์ที่ออกแบบเฉพาะ ใช้ภาษาที่เหมาะสมกับกลุ่มเป้าหมาย และมีการคัดกรองเหยื่อโดยอิงตามตำแหน่งทางภูมิศาสตร์

เมื่อเหยื่อคลิกลิงก์ฟิชชิ่ง พวกเขาจะถูกเปลี่ยนเส้นทางไปยังหน้าเว็บไซต์ปลอมที่แอบอ้างเป็นหน่วยงานเก็บค่าผ่านทาง และที่จอดรถของรัฐบาล หรือองค์กรเอกชน เช่น USPS, DHL, Royal Mail, FedEx, Revolut, Amazon, American Express, HSBC, E-ZPass, SunPass, Transport for London และอื่น ๆ

หน้าเว็บไซต์ฟิชชิ่งถูกออกแบบมาเพื่อขโมยข้อมูลส่วนตัว และข้อมูลทางการเงิน รวมถึง ชื่อนามสกุล, อีเมล, ที่อยู่ และรายละเอียดบัตรเครดิต

แพลตฟอร์ม Lucid มีฟีเจอร์ตรวจสอบบัตรเครดิตในตัว ซึ่งช่วยให้ผู้โจมตีสามารถทดสอบความถูกต้องของบัตรที่ขโมยมาได้ หากบัตรยังใช้งานได้ จะถูกนำไปขายต่อให้กับอาชญากรไซเบอร์รายอื่น หรือใช้ในการฉ้อโกงโดยตรง

แพลตฟอร์มอย่าง Lucid ทำให้การเข้าร่วมในการดำเนินการทางอาชญากรรมไซเบอร์เป็นเรื่องง่ายขึ้น และยังมอบคุณภาพในระดับหนึ่งให้กับการโจมตีแบบฟิชชิ่ง ซึ่งเพิ่มโอกาสความสำเร็จของผู้โจมตีอย่างมาก

เมื่อรวมกับโครงสร้างพื้นฐานที่มีความแข็งแกร่ง และยืดหยุ่นสูง กลุ่มผู้โจมตีสามารถใช้ประโยชน์เพื่อดำเนินการแคมเปญฟิชชิ่งในระดับใหญ่ และเป็นระบบได้อย่างมีประสิทธิภาพ

หากได้รับข้อความบนอุปกรณ์ที่เร่งให้คลิกลิงก์ หรือให้ตอบกลับ อย่าโต้ตอบหรือคลิกใด ๆ ควรเข้าสู่ระบบของบริการนั้นโดยตรงผ่านช่องทางอย่างเป็นทางการ และตรวจสอบการแจ้งเตือน หรือใบเรียกเก็บเงินด้วยตนเองแทน

ที่มา : bleepingcomputer

‘Vapor’ แอปอันตรายใน Android ถูกติดตั้งไปแล้วกว่า 60 ล้านครั้งบน Google Play **

แอปพลิเคชันอันตรายบน Android กว่า 300 แอป ซึ่งถูกดาวน์โหลดไปแล้วกว่า 60 ล้านครั้งจาก Google Play โดยแอปเหล่านี้ทำหน้าที่เป็น Adware หรือพยายามขโมยข้อมูล credentials และข้อมูลบัตรเครดิตของผู้ใช้ (more…)

Google แก้ไขช่องโหว่ด้านความปลอดภัยบน Android เดือนมีนาคม 2025 โดยมีช่องโหว่ 2 รายการที่กำลังถูกใช้ในการโจมตี

Google ได้เผยแพร่ Android Security Bulletin หรือการอัปเดตด้านความปลอดภัย สำหรับเดือนมีนาคม 2025 เพื่อแก้ไขช่องโหว่ทั้งหมด 44 รายการ ซึ่งรวมถึงช่องโหว่ 2 รายการที่ Google ระบุว่ากำลังถูกใช้ในการโจมตีจริงอยู่ในปัจจุบัน

ช่องโหว่ที่มีระดับความรุนแรงสูง 2 รายการมีดังต่อไปนี้

CVE-2024-43093 - ช่องโหว่การยกระดับสิทธิ์ใน Framework component ซึ่งอาจส่งผลให้สามารถเข้าถึงไดเร็กทอรี "Android/data," "Android/obb," และ "Android/sandbox" และไดเร็กทอรีย่อยที่เกี่ยวข้องโดยไม่ได้รับอนุญาต
CVE-2024-50302 - ช่องโหว่การยกระดับสิทธิ์ใน HID USB component ของ Linux kernel ซึ่งอาจนำไปสู่การรั่วไหลของ kernel memory ที่ไม่ได้ถูกกำหนดค่า ไปยังผู้โจมตีในระดับ local ผ่าน HID reports ที่ถูกสร้างขึ้นมาเป็นพิเศษ

ที่น่าสังเกตคือ CVE-2024-43093 เคยถูก Google ระบุไว้ในคำแนะนำด้านความปลอดภัยประจำเดือนพฤศจิกายน 2024 ว่ากำลังถูกใช้ในการโจมตีเป็นวงกว้าง โดย Google ให้ข้อมูลกับ The Hacker News ว่า เป็นการเผยแพร่การแก้ไขที่อัปเดตสำหรับช่องโหว่นี้ จึงทำให้ CVE-2024-43093 อยู่ในคำแนะนำด้านความปลอดภัยสำหรับเดือนมีนาคม

ในทางกลับกัน CVE-2024-50302 เป็นหนึ่งในสามช่องโหว่ที่เชื่อมโยงกับช่องโหว่แบบ zero-day ที่ Cellebrite คิดค้นขึ้นเพื่อเจาะเข้าไปยังโทรศัพท์ Android ของนักเคลื่อนไหวเยาวชนชาวเซอร์เบียในเดือนธันวาคม 2024 และช่องโหว่นี้เกี่ยวข้องกับการใช้ CVE-2024-53104, CVE-2024-53197 และ CVE-2024-50302 เพื่อให้ได้รับสิทธิ์ที่สูงขึ้นด้วยการฝังสปายแวร์ที่เรียกว่า NoviSpy

โดยช่องโหว่ทั้งสามรายการอยู่ใน Linux kernel และได้รับการแก้ไขเมื่อปลายปีที่แล้ว ส่วน CVE-2024-53104 ได้รับการแก้ไขโดย Google ใน Android เมื่อเดือนที่ผ่านมา

ในคำแนะนำ Google ยอมรับว่าทั้ง CVE-2024-43093 และ CVE-2024-50302 เข้าข่ายการโจมตีที่มีเป้าหมายเฉพาะเจาะจง

Google ได้เผยแพร่แพตช์ความปลอดภัยสองระดับ คือ 1 มีนาคม 2025 และ 5 มีนาคม 2025 เพื่อให้ Android partners สามารถแก้ไขช่องโหว่บางส่วนที่คล้ายกันในอุปกรณ์ของ Android ทั้งหมดได้รวดเร็วขึ้น

ที่มา: thehackernews

มัลแวร์ TgToxic Banking Trojan เวอร์ชันใหม่มีการอัปเกรดระบบเพื่อป้องกันการวิเคราะห์

นักวิจัยด้านความปลอดภัยทางไซเบอร์ค้นพบมัลแวร์บน Android เวอร์ชันใหม่ที่ชื่อ TgToxic (หรือที่รู้จักในชื่อของ ToxicPanda) ซึ่งบ่งชี้ว่ากลุ่มผู้ไม่หวังดีที่อยู่เบื้องหลังมัลแวร์ดังกล่าว ยังคงมีการพัฒนามัลแวร์อย่างต่อเนื่องเพื่อตอบสนองต่อการรายงานการโจมตีที่เกิดขึ้น (more…)