SiamByte

เว็บไซต์ข่าวมือถือ รีวิว เปรียบเทียบ ราคา และสเปคโทรศัพท์ อัปเดตมือถือใหม่ล่าสุด พร้อมข่าวเทคโนโลยี AI และ Gadget ครบในที่เดียว

RedWing มัลแวร์ Android ให้เช่าผ่าน Telegram ขโมยข้อมูลธนาคารและรหัส OTP

RedWing มัลแวร์ Android ให้เช่าผ่าน Telegram ขโมยข้อมูลธนาคารและรหัส OTP

พบปฏิบัติการมัลแวร์ Android รูปแบบใหม่ในชื่อ RedWing ซึ่งถูกนำไปให้เช่าผ่าน Telegram ในลักษณะบริการสำเร็จรูปสำหรับการโจรกรรมบัญชีธนาคาร ผู้ใช้งานไม่จำเป็นต้องมีทักษะในการพัฒนามัลแวร์ ก็สามารถสร้างแอปอันตรายสำหรับควบคุมโทรศัพท์ ขโมยข้อมูลเข้าสู่ระบบธนาคาร และดักจับรหัส OTP ของเหยื่อได้

นักวิจัยด้านความปลอดภัยจาก Zimperium zLabs ระบุว่า RedWing มีลักษณะคล้ายกับ Oblivion ซึ่งเป็นบริการมัลแวร์ให้เช่าที่เคยถูกเปิดเผยก่อนหน้านี้ โดย Oblivion มีค่าใช้งานประมาณ 300 ดอลลาร์ต่อเดือน

RedWing คืออะไร

RedWing เป็นมัลแวร์ Android ที่ถูกพัฒนาในรูปแบบ Malware-as-a-Service หรือบริการมัลแวร์ให้เช่า ผู้ให้บริการจะจัดเตรียมระบบสำหรับสร้างแอปอันตราย แผงควบคุม คู่มือการใช้งาน วิดีโอสอน และระบบส่วนลดสำหรับสมาชิกที่แนะนำผู้ใช้งานรายใหม่

ผู้ซื้อสามารถใช้บอตบน Telegram เพื่อสร้างแอปมัลแวร์เฉพาะของตัวเองได้ทันที โดยเลือกชื่อแอป รูปแบบหน้าเว็บไซต์ปลอม และรายชื่อแอปธนาคารหรือกระเป๋าคริปโตที่ต้องการโจมตี

นักวิจัยพบว่าไฟล์ติดตั้งและมัลแวร์จำนวนมากที่ถูกสร้างจากระบบดังกล่าวยังสามารถหลบเลี่ยงเครื่องมือตรวจจับความปลอดภัยทั่วไปได้

RedWing แพร่กระจายเข้าสู่โทรศัพท์ Android อย่างไร

การโจมตีของ RedWing เริ่มต้นจากลิงก์ฟิชชิงที่ถูกส่งผ่านข้อความ แชต อีเมล หรือช่องทางออนไลน์อื่น เมื่อลิงก์ถูกเปิด ผู้ใช้งานจะพบกับหน้าเว็บไซต์ร้านค้าแอปปลอมที่ออกแบบให้มีลักษณะคล้ายบริการดาวน์โหลดแอปอย่างเป็นทางการ

ระบบสร้างมัลแวร์สามารถเลียนแบบร้านค้าแอปหลายแห่ง ได้แก่

  • Google Play Store
  • Samsung Galaxy Store
  • Huawei AppGallery
  • RuStore
  • หน้าเว็บไซต์ดาวน์โหลดแอปที่ออกแบบขึ้นใหม่ทั้งหมด

เว็บไซต์ปลอมสามารถใส่คะแนนรีวิว ความคิดเห็น จำนวนดาวน์โหลด และรายละเอียดแอป เพื่อสร้างความน่าเชื่อถือ ก่อนจะชักจูงให้ผู้ใช้งานดาวน์โหลดไฟล์ APK และติดตั้งแอปจากนอก Store อย่างเป็นทางการ

มัลแวร์หลอกขอสิทธิ์ควบคุมเครื่องทีละขั้นตอน

หลังจากติดตั้งแล้ว RedWing จะไม่ขอสิทธิ์ทั้งหมดพร้อมกัน แต่จะแสดงหน้าต่างขออนุญาตทีละขั้นตอน โดยมีเว็บไซต์หรือหน้าเว็บทั่วไปแสดงอยู่ด้านหลัง เพื่อทำให้ผู้ใช้งานรู้สึกว่าเป็นขั้นตอนตั้งค่าแอปตามปกติ

สิทธิ์สำคัญที่มัลแวร์จะพยายามขอ ได้แก่

  • ปิดระบบจำกัดการใช้แบตเตอรี่
  • ตั้งแอปเป็นโปรแกรมรับส่งข้อความ SMS เริ่มต้น
  • เปิดสิทธิ์การแจ้งเตือน
  • อนุญาตการติดตั้งจากแหล่งที่ไม่รู้จัก
  • เปิดใช้งาน Android Accessibility Service
  • อนุญาตการเข้าถึงกล้องและไมโครโฟน
  • อนุญาตการเข้าถึงไฟล์ รายชื่อติดต่อ และตำแหน่ง

สิทธิ์ Accessibility เป็นส่วนสำคัญของการโจมตี เนื่องจากช่วยให้มัลแวร์อ่านข้อมูลบนหน้าจอ กดปุ่ม ควบคุมแอป และดึงข้อมูลสำคัญจากโทรศัพท์ได้

ความสามารถของมัลแวร์ RedWing

เมื่อได้รับสิทธิ์ที่จำเป็นแล้ว RedWing จะสามารถควบคุมอุปกรณ์ Android ได้ในวงกว้าง และเปิดทางให้ผู้โจมตีทำธุรกรรมภายในโทรศัพท์ของเหยื่อโดยตรง

สร้างหน้าล็อกอินธนาคารปลอม

RedWing สามารถแสดงหน้าล็อกอินปลอมซ้อนทับบนแอปธนาคารหรือแอปกระเป๋าคริปโตจริง เทคนิคนี้เรียกว่า Overlay Attack

เมื่อผู้ใช้งานกรอกชื่อบัญชี รหัสผ่าน PIN หรือข้อมูลบัตร ข้อมูลทั้งหมดจะถูกส่งไปยังผู้โจมตีแทนที่จะเข้าสู่ระบบธนาคารจริง

ขโมยรหัส OTP และข้อมูลบนหน้าจอ

มัลแวร์สามารถอ่านข้อความ SMS ที่เข้ามาใหม่เพื่อดักจับรหัส OTP รวมถึงใช้ Accessibility Service อ่านข้อมูลที่ปรากฏบนหน้าจอ เช่น

  • รหัสยืนยันการทำธุรกรรม
  • หมายเลขบัตรธนาคาร
  • รหัส PIN
  • รหัสผ่าน
  • ข้อมูลบัญชี
  • ข้อความแจ้งเตือนจากธนาคาร

เปิดระบบโอนสายไปยังผู้โจมตี

RedWing สามารถใช้รหัสเครือข่ายโทรศัพท์ เช่น 21 เพื่อเปิดระบบโอนสายเรียกเข้าไปยังหมายเลขของผู้โจมตีแบบเงียบ ๆ

วิธีนี้อาจทำให้เหยื่อไม่ได้รับสายตรวจสอบจากธนาคาร รวมถึงเปิดโอกาสให้ผู้โจมตีรับสายยืนยันตัวตนหรือสายแจ้งเตือนเกี่ยวกับธุรกรรมผิดปกติ

ถ่ายทอดสดหน้าจอและบันทึกการพิมพ์

มัลแวร์รองรับการสตรีมหน้าจอแบบเรียลไทม์ ทำให้ผู้โจมตีสามารถมองเห็นสิ่งที่เกิดขึ้นบนโทรศัพท์ของเหยื่อได้จากระยะไกล

นอกจากนี้ยังมีระบบ Keylogger สำหรับบันทึกข้อความ ตัวเลข รหัสผ่าน และข้อมูลที่ผู้ใช้งานพิมพ์ผ่านแป้นพิมพ์

ควบคุมกล้องและไมโครโฟน

RedWing สามารถเปิดกล้องและไมโครโฟนของโทรศัพท์เพื่อบันทึกภาพหรือเสียง รวมถึงเข้าถึงข้อมูลส่วนตัวอื่นภายในเครื่อง เช่น

  • ไฟล์และเอกสาร
  • รูปภาพและวิดีโอ
  • รายชื่อติดต่อ
  • ประวัติการโทร
  • ตำแหน่งที่ตั้ง
  • ข้อมูลจากการแจ้งเตือน

ใช้เครื่องที่ติดมัลแวร์โจมตีเว็บไซต์

ผู้โจมตียังสามารถนำโทรศัพท์ที่ติด RedWing มารวมเป็นเครือข่าย เพื่อส่งทราฟฟิกจำนวนมากไปยังเว็บไซต์เป้าหมายในลักษณะการโจมตีแบบ Denial-of-Service หรือ DDoS

ผู้ซื้อสามารถเลือกแอปเป้าหมายได้เอง

RedWing แบ่งระบบเลือกเป้าหมายออกเป็นสองรูปแบบ โดยแอปที่มัลแวร์จะเฝ้าติดตามผ่าน Accessibility จะถูกกำหนดไว้ในไฟล์มัลแวร์ตั้งแต่ขั้นตอนการสร้างแอป

หากผู้ซื้อเปลี่ยนรายชื่อแอปกลุ่มนี้ ผู้ให้บริการจะสร้างไฟล์มัลแวร์ชุดใหม่ให้ดาวน์โหลดและนำไปเผยแพร่

ส่วนหน้าล็อกอินปลอมแบบ Overlay สามารถแก้ไขหรือเพิ่มเป้าหมายได้ภายหลังผ่านแผงควบคุม โดยไม่จำเป็นต้องสร้างแอปมัลแวร์ใหม่ทุกครั้ง

พบเป้าหมายอย่างน้อย 82 สถาบัน

Zimperium ตรวจพบว่ามัลแวร์ RedWing มีรายชื่อเป้าหมายอย่างน้อย 82 แห่ง ครอบคลุมหลายอุตสาหกรรม โดยให้ความสำคัญกับธนาคารและบริษัทการเงินในรัสเซียเป็นหลัก

หนึ่งในตัวอย่างที่นักวิจัยตรวจสอบพบว่าใช้หน้าเว็บไซต์ปลอมเลียนแบบ RuStore ซึ่งเป็นร้านค้าแอปในรัสเซีย ข้อมูลดังกล่าวทำให้นักวิจัยมองว่าปฏิบัติการนี้อาจเชื่อมโยงกับกลุ่มผู้โจมตีที่มุ่งเป้าไปยังตลาดรัสเซีย แต่ยังไม่มีหลักฐานเพียงพอที่จะยืนยันตัวตนของผู้พัฒนาอย่างเป็นทางการ

รายชื่อสถาบันเป้าหมายสามารถเปลี่ยนแปลงได้ตลอดเวลา เนื่องจากผู้ซื้อบริการสามารถเลือกธนาคาร แอปการเงิน หรือบริการคริปโตที่ต้องการโจมตีได้เอง

RedWing ใช้เทคนิค On-Device Fraud

RedWing สะท้อนแนวโน้มการโจมตี Android แบบ On-Device Fraud ซึ่งผู้โจมตีจะควบคุมโทรศัพท์ของเหยื่อและทำธุรกรรมจากอุปกรณ์เครื่องเดิมโดยตรง

วิธีนี้แตกต่างจากการขโมยรหัสผ่านแล้วนำไปเข้าสู่ระบบจากอุปกรณ์อื่น เพราะระบบธนาคารอาจมองเห็นว่าการทำธุรกรรมเกิดขึ้นจากโทรศัพท์ ตำแหน่ง และบัญชีผู้ใช้งานเดิม จึงตรวจจับความผิดปกติได้ยากขึ้น

มัลแวร์ Android กลุ่มอื่นที่ใช้แนวทางใกล้เคียงกัน ได้แก่

  • Fantasy Hub บริการมัลแวร์ให้เช่าที่มุ่งเป้าไปยังผู้ใช้งานในรัสเซีย
  • Albiriox มัลแวร์ที่รองรับการโจมตีแอปการเงินมากกว่า 400 แอป
  • Klopatra มัลแวร์ที่ใช้ระบบควบคุมระยะไกลและหน้าล็อกอินปลอมเพื่อขโมยเงินจากบัญชี

RedWing ไม่จำเป็นต้องใช้ช่องโหว่ Android

RedWing ไม่ได้พึ่งพาช่องโหว่ของระบบปฏิบัติการ Android การโจมตีจะสำเร็จได้เมื่อผู้ใช้งานติดตั้งแอปจากแหล่งภายนอก และอนุญาตสิทธิ์สำคัญตามที่แอปร้องขอ

ดังนั้นขั้นตอนการดาวน์โหลดและติดตั้งแอปจึงเป็นจุดสำคัญที่สุดในการป้องกันมัลแวร์ประเภทนี้

วิธีป้องกันมัลแวร์ RedWing บน Android

ผู้ใช้งานสามารถลดความเสี่ยงจาก RedWing และมัลแวร์ธนาคาร Android ได้ด้วยแนวทางต่อไปนี้

  • ดาวน์โหลดแอปจาก Store อย่างเป็นทางการเท่านั้น
  • หลีกเลี่ยงการติดตั้งไฟล์ APK ที่ได้รับผ่านข้อความ แชต หรืออีเมล
  • ระวังลิงก์ที่อ้างว่าเป็นการอัปเดตแอปธนาคารหรือแอประบบ
  • ไม่เปิดสิทธิ์ติดตั้งแอปจากแหล่งที่ไม่รู้จักโดยไม่มีเหตุผล
  • ไม่เปิด Accessibility Service ให้กับแอปที่ไม่จำเป็นต้องใช้
  • ไม่ตั้งแอปทั่วไปเป็นโปรแกรมรับส่ง SMS เริ่มต้น
  • ตรวจสอบเหตุผลก่อนอนุญาตให้แอปทำงานแบบไม่จำกัดแบตเตอรี่
  • ตรวจสอบแอปที่ซ่อนไอคอนหลังติดตั้ง
  • เปิดใช้งาน Google Play Protect
  • อัปเดตระบบ Android และแอปให้เป็นเวอร์ชันล่าสุด
  • ติดต่อธนาคารทันทีเมื่อพบธุรกรรมหรือการโอนสายผิดปกติ

แนวทางป้องกันสำหรับองค์กร

องค์กรที่ดูแลโทรศัพท์ Android ของพนักงานสามารถบังคับใช้นโยบายความปลอดภัยจากส่วนกลางได้ เช่น

  • ปิดการติดตั้งแอปจากภายนอก Store
  • บล็อกไฟล์ APK ที่ไม่ได้รับอนุญาต
  • แจ้งเตือนเมื่อแอปร้องขอสิทธิ์ Accessibility
  • ตรวจจับแอปที่พยายามเป็นโปรแกรม SMS เริ่มต้น
  • จำกัดสิทธิ์กล้อง ไมโครโฟน และตำแหน่ง
  • ตรวจสอบพฤติกรรมการซ่อนไอคอนแอป
  • เฝ้าระวังการเปิดระบบโอนสายโดยไม่ได้รับอนุญาต
  • ใช้ระบบ Mobile Device Management หรือ Mobile Threat Defense

นักวิจัยยังได้เผยแพร่ Indicators of Compromise หรือข้อมูลสำหรับตรวจสอบร่องรอยการโจมตี เพื่อช่วยให้ทีมรักษาความปลอดภัยค้นหาอุปกรณ์ที่อาจติดมัลแวร์ได้

ชื่อแอปไม่ใช่ตัวบ่งชี้ที่เพียงพอ

RedWing สามารถเปลี่ยนชื่อ ไอคอน หน้าตาเว็บไซต์ และรายชื่อแอปเป้าหมายได้อย่างรวดเร็ว ผู้โจมตีจึงสามารถนำมัลแวร์ชุดเดิมกลับมาเผยแพร่ภายใต้ชื่อแอปใหม่ได้ตลอดเวลา

การตรวจสอบเฉพาะชื่อแอปจึงอาจไม่เพียงพอ สิ่งที่ควรเฝ้าระวังคือพฤติกรรมของแอป เช่น การขอ Accessibility การขอเป็นแอป SMS เริ่มต้น การซ่อนไอคอน การปิดข้อจำกัดแบตเตอรี่ และการติดตั้งจากแหล่งภายนอก

สรุป

RedWing เป็นมัลแวร์ Android สำหรับโจรกรรมข้อมูลธนาคารที่ถูกให้เช่าผ่าน Telegram ในรูปแบบบริการสำเร็จรูป ผู้ซื้อสามารถสร้างแอปอันตราย เลือกธนาคารเป้าหมาย และควบคุมโทรศัพท์ของเหยื่อได้โดยไม่ต้องมีทักษะเขียนมัลแวร์ขั้นสูง

ความสามารถของ RedWing ครอบคลุมตั้งแต่การขโมยรหัสผ่านและ OTP การสร้างหน้าล็อกอินปลอม การบันทึกหน้าจอและการพิมพ์ ไปจนถึงการโอนสาย ควบคุมกล้อง ไมโครโฟน และทำธุรกรรมจากโทรศัพท์ของเหยื่อโดยตรง

การป้องกันที่สำคัญที่สุดคือไม่ติดตั้งแอปจากลิงก์หรือแหล่งที่ไม่รู้จัก และไม่อนุญาตสิทธิ์ Accessibility, SMS, กล้อง หรือไมโครโฟนให้กับแอปที่ไม่มีเหตุผลชัดเจนในการใช้งาน

ที่มา thehackernews

Leave a Reply

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *