พบปฏิบัติการมัลแวร์ Android รูปแบบใหม่ในชื่อ RedWing ซึ่งถูกนำไปให้เช่าผ่าน Telegram ในลักษณะบริการสำเร็จรูปสำหรับการโจรกรรมบัญชีธนาคาร ผู้ใช้งานไม่จำเป็นต้องมีทักษะในการพัฒนามัลแวร์ ก็สามารถสร้างแอปอันตรายสำหรับควบคุมโทรศัพท์ ขโมยข้อมูลเข้าสู่ระบบธนาคาร และดักจับรหัส OTP ของเหยื่อได้
นักวิจัยด้านความปลอดภัยจาก Zimperium zLabs ระบุว่า RedWing มีลักษณะคล้ายกับ Oblivion ซึ่งเป็นบริการมัลแวร์ให้เช่าที่เคยถูกเปิดเผยก่อนหน้านี้ โดย Oblivion มีค่าใช้งานประมาณ 300 ดอลลาร์ต่อเดือน
RedWing คืออะไร
RedWing เป็นมัลแวร์ Android ที่ถูกพัฒนาในรูปแบบ Malware-as-a-Service หรือบริการมัลแวร์ให้เช่า ผู้ให้บริการจะจัดเตรียมระบบสำหรับสร้างแอปอันตราย แผงควบคุม คู่มือการใช้งาน วิดีโอสอน และระบบส่วนลดสำหรับสมาชิกที่แนะนำผู้ใช้งานรายใหม่
ผู้ซื้อสามารถใช้บอตบน Telegram เพื่อสร้างแอปมัลแวร์เฉพาะของตัวเองได้ทันที โดยเลือกชื่อแอป รูปแบบหน้าเว็บไซต์ปลอม และรายชื่อแอปธนาคารหรือกระเป๋าคริปโตที่ต้องการโจมตี
นักวิจัยพบว่าไฟล์ติดตั้งและมัลแวร์จำนวนมากที่ถูกสร้างจากระบบดังกล่าวยังสามารถหลบเลี่ยงเครื่องมือตรวจจับความปลอดภัยทั่วไปได้
RedWing แพร่กระจายเข้าสู่โทรศัพท์ Android อย่างไร
การโจมตีของ RedWing เริ่มต้นจากลิงก์ฟิชชิงที่ถูกส่งผ่านข้อความ แชต อีเมล หรือช่องทางออนไลน์อื่น เมื่อลิงก์ถูกเปิด ผู้ใช้งานจะพบกับหน้าเว็บไซต์ร้านค้าแอปปลอมที่ออกแบบให้มีลักษณะคล้ายบริการดาวน์โหลดแอปอย่างเป็นทางการ
ระบบสร้างมัลแวร์สามารถเลียนแบบร้านค้าแอปหลายแห่ง ได้แก่
- Google Play Store
- Samsung Galaxy Store
- Huawei AppGallery
- RuStore
- หน้าเว็บไซต์ดาวน์โหลดแอปที่ออกแบบขึ้นใหม่ทั้งหมด
เว็บไซต์ปลอมสามารถใส่คะแนนรีวิว ความคิดเห็น จำนวนดาวน์โหลด และรายละเอียดแอป เพื่อสร้างความน่าเชื่อถือ ก่อนจะชักจูงให้ผู้ใช้งานดาวน์โหลดไฟล์ APK และติดตั้งแอปจากนอก Store อย่างเป็นทางการ
มัลแวร์หลอกขอสิทธิ์ควบคุมเครื่องทีละขั้นตอน
หลังจากติดตั้งแล้ว RedWing จะไม่ขอสิทธิ์ทั้งหมดพร้อมกัน แต่จะแสดงหน้าต่างขออนุญาตทีละขั้นตอน โดยมีเว็บไซต์หรือหน้าเว็บทั่วไปแสดงอยู่ด้านหลัง เพื่อทำให้ผู้ใช้งานรู้สึกว่าเป็นขั้นตอนตั้งค่าแอปตามปกติ
สิทธิ์สำคัญที่มัลแวร์จะพยายามขอ ได้แก่
- ปิดระบบจำกัดการใช้แบตเตอรี่
- ตั้งแอปเป็นโปรแกรมรับส่งข้อความ SMS เริ่มต้น
- เปิดสิทธิ์การแจ้งเตือน
- อนุญาตการติดตั้งจากแหล่งที่ไม่รู้จัก
- เปิดใช้งาน Android Accessibility Service
- อนุญาตการเข้าถึงกล้องและไมโครโฟน
- อนุญาตการเข้าถึงไฟล์ รายชื่อติดต่อ และตำแหน่ง
สิทธิ์ Accessibility เป็นส่วนสำคัญของการโจมตี เนื่องจากช่วยให้มัลแวร์อ่านข้อมูลบนหน้าจอ กดปุ่ม ควบคุมแอป และดึงข้อมูลสำคัญจากโทรศัพท์ได้
ความสามารถของมัลแวร์ RedWing
เมื่อได้รับสิทธิ์ที่จำเป็นแล้ว RedWing จะสามารถควบคุมอุปกรณ์ Android ได้ในวงกว้าง และเปิดทางให้ผู้โจมตีทำธุรกรรมภายในโทรศัพท์ของเหยื่อโดยตรง
สร้างหน้าล็อกอินธนาคารปลอม
RedWing สามารถแสดงหน้าล็อกอินปลอมซ้อนทับบนแอปธนาคารหรือแอปกระเป๋าคริปโตจริง เทคนิคนี้เรียกว่า Overlay Attack
เมื่อผู้ใช้งานกรอกชื่อบัญชี รหัสผ่าน PIN หรือข้อมูลบัตร ข้อมูลทั้งหมดจะถูกส่งไปยังผู้โจมตีแทนที่จะเข้าสู่ระบบธนาคารจริง
ขโมยรหัส OTP และข้อมูลบนหน้าจอ
มัลแวร์สามารถอ่านข้อความ SMS ที่เข้ามาใหม่เพื่อดักจับรหัส OTP รวมถึงใช้ Accessibility Service อ่านข้อมูลที่ปรากฏบนหน้าจอ เช่น
- รหัสยืนยันการทำธุรกรรม
- หมายเลขบัตรธนาคาร
- รหัส PIN
- รหัสผ่าน
- ข้อมูลบัญชี
- ข้อความแจ้งเตือนจากธนาคาร
เปิดระบบโอนสายไปยังผู้โจมตี
RedWing สามารถใช้รหัสเครือข่ายโทรศัพท์ เช่น 21 เพื่อเปิดระบบโอนสายเรียกเข้าไปยังหมายเลขของผู้โจมตีแบบเงียบ ๆ
วิธีนี้อาจทำให้เหยื่อไม่ได้รับสายตรวจสอบจากธนาคาร รวมถึงเปิดโอกาสให้ผู้โจมตีรับสายยืนยันตัวตนหรือสายแจ้งเตือนเกี่ยวกับธุรกรรมผิดปกติ
ถ่ายทอดสดหน้าจอและบันทึกการพิมพ์
มัลแวร์รองรับการสตรีมหน้าจอแบบเรียลไทม์ ทำให้ผู้โจมตีสามารถมองเห็นสิ่งที่เกิดขึ้นบนโทรศัพท์ของเหยื่อได้จากระยะไกล
นอกจากนี้ยังมีระบบ Keylogger สำหรับบันทึกข้อความ ตัวเลข รหัสผ่าน และข้อมูลที่ผู้ใช้งานพิมพ์ผ่านแป้นพิมพ์
ควบคุมกล้องและไมโครโฟน
RedWing สามารถเปิดกล้องและไมโครโฟนของโทรศัพท์เพื่อบันทึกภาพหรือเสียง รวมถึงเข้าถึงข้อมูลส่วนตัวอื่นภายในเครื่อง เช่น
- ไฟล์และเอกสาร
- รูปภาพและวิดีโอ
- รายชื่อติดต่อ
- ประวัติการโทร
- ตำแหน่งที่ตั้ง
- ข้อมูลจากการแจ้งเตือน
ใช้เครื่องที่ติดมัลแวร์โจมตีเว็บไซต์
ผู้โจมตียังสามารถนำโทรศัพท์ที่ติด RedWing มารวมเป็นเครือข่าย เพื่อส่งทราฟฟิกจำนวนมากไปยังเว็บไซต์เป้าหมายในลักษณะการโจมตีแบบ Denial-of-Service หรือ DDoS
ผู้ซื้อสามารถเลือกแอปเป้าหมายได้เอง
RedWing แบ่งระบบเลือกเป้าหมายออกเป็นสองรูปแบบ โดยแอปที่มัลแวร์จะเฝ้าติดตามผ่าน Accessibility จะถูกกำหนดไว้ในไฟล์มัลแวร์ตั้งแต่ขั้นตอนการสร้างแอป
หากผู้ซื้อเปลี่ยนรายชื่อแอปกลุ่มนี้ ผู้ให้บริการจะสร้างไฟล์มัลแวร์ชุดใหม่ให้ดาวน์โหลดและนำไปเผยแพร่
ส่วนหน้าล็อกอินปลอมแบบ Overlay สามารถแก้ไขหรือเพิ่มเป้าหมายได้ภายหลังผ่านแผงควบคุม โดยไม่จำเป็นต้องสร้างแอปมัลแวร์ใหม่ทุกครั้ง
พบเป้าหมายอย่างน้อย 82 สถาบัน
Zimperium ตรวจพบว่ามัลแวร์ RedWing มีรายชื่อเป้าหมายอย่างน้อย 82 แห่ง ครอบคลุมหลายอุตสาหกรรม โดยให้ความสำคัญกับธนาคารและบริษัทการเงินในรัสเซียเป็นหลัก
หนึ่งในตัวอย่างที่นักวิจัยตรวจสอบพบว่าใช้หน้าเว็บไซต์ปลอมเลียนแบบ RuStore ซึ่งเป็นร้านค้าแอปในรัสเซีย ข้อมูลดังกล่าวทำให้นักวิจัยมองว่าปฏิบัติการนี้อาจเชื่อมโยงกับกลุ่มผู้โจมตีที่มุ่งเป้าไปยังตลาดรัสเซีย แต่ยังไม่มีหลักฐานเพียงพอที่จะยืนยันตัวตนของผู้พัฒนาอย่างเป็นทางการ
รายชื่อสถาบันเป้าหมายสามารถเปลี่ยนแปลงได้ตลอดเวลา เนื่องจากผู้ซื้อบริการสามารถเลือกธนาคาร แอปการเงิน หรือบริการคริปโตที่ต้องการโจมตีได้เอง
RedWing ใช้เทคนิค On-Device Fraud
RedWing สะท้อนแนวโน้มการโจมตี Android แบบ On-Device Fraud ซึ่งผู้โจมตีจะควบคุมโทรศัพท์ของเหยื่อและทำธุรกรรมจากอุปกรณ์เครื่องเดิมโดยตรง
วิธีนี้แตกต่างจากการขโมยรหัสผ่านแล้วนำไปเข้าสู่ระบบจากอุปกรณ์อื่น เพราะระบบธนาคารอาจมองเห็นว่าการทำธุรกรรมเกิดขึ้นจากโทรศัพท์ ตำแหน่ง และบัญชีผู้ใช้งานเดิม จึงตรวจจับความผิดปกติได้ยากขึ้น
มัลแวร์ Android กลุ่มอื่นที่ใช้แนวทางใกล้เคียงกัน ได้แก่
- Fantasy Hub บริการมัลแวร์ให้เช่าที่มุ่งเป้าไปยังผู้ใช้งานในรัสเซีย
- Albiriox มัลแวร์ที่รองรับการโจมตีแอปการเงินมากกว่า 400 แอป
- Klopatra มัลแวร์ที่ใช้ระบบควบคุมระยะไกลและหน้าล็อกอินปลอมเพื่อขโมยเงินจากบัญชี
RedWing ไม่จำเป็นต้องใช้ช่องโหว่ Android
RedWing ไม่ได้พึ่งพาช่องโหว่ของระบบปฏิบัติการ Android การโจมตีจะสำเร็จได้เมื่อผู้ใช้งานติดตั้งแอปจากแหล่งภายนอก และอนุญาตสิทธิ์สำคัญตามที่แอปร้องขอ
ดังนั้นขั้นตอนการดาวน์โหลดและติดตั้งแอปจึงเป็นจุดสำคัญที่สุดในการป้องกันมัลแวร์ประเภทนี้
วิธีป้องกันมัลแวร์ RedWing บน Android
ผู้ใช้งานสามารถลดความเสี่ยงจาก RedWing และมัลแวร์ธนาคาร Android ได้ด้วยแนวทางต่อไปนี้
- ดาวน์โหลดแอปจาก Store อย่างเป็นทางการเท่านั้น
- หลีกเลี่ยงการติดตั้งไฟล์ APK ที่ได้รับผ่านข้อความ แชต หรืออีเมล
- ระวังลิงก์ที่อ้างว่าเป็นการอัปเดตแอปธนาคารหรือแอประบบ
- ไม่เปิดสิทธิ์ติดตั้งแอปจากแหล่งที่ไม่รู้จักโดยไม่มีเหตุผล
- ไม่เปิด Accessibility Service ให้กับแอปที่ไม่จำเป็นต้องใช้
- ไม่ตั้งแอปทั่วไปเป็นโปรแกรมรับส่ง SMS เริ่มต้น
- ตรวจสอบเหตุผลก่อนอนุญาตให้แอปทำงานแบบไม่จำกัดแบตเตอรี่
- ตรวจสอบแอปที่ซ่อนไอคอนหลังติดตั้ง
- เปิดใช้งาน Google Play Protect
- อัปเดตระบบ Android และแอปให้เป็นเวอร์ชันล่าสุด
- ติดต่อธนาคารทันทีเมื่อพบธุรกรรมหรือการโอนสายผิดปกติ
แนวทางป้องกันสำหรับองค์กร
องค์กรที่ดูแลโทรศัพท์ Android ของพนักงานสามารถบังคับใช้นโยบายความปลอดภัยจากส่วนกลางได้ เช่น
- ปิดการติดตั้งแอปจากภายนอก Store
- บล็อกไฟล์ APK ที่ไม่ได้รับอนุญาต
- แจ้งเตือนเมื่อแอปร้องขอสิทธิ์ Accessibility
- ตรวจจับแอปที่พยายามเป็นโปรแกรม SMS เริ่มต้น
- จำกัดสิทธิ์กล้อง ไมโครโฟน และตำแหน่ง
- ตรวจสอบพฤติกรรมการซ่อนไอคอนแอป
- เฝ้าระวังการเปิดระบบโอนสายโดยไม่ได้รับอนุญาต
- ใช้ระบบ Mobile Device Management หรือ Mobile Threat Defense
นักวิจัยยังได้เผยแพร่ Indicators of Compromise หรือข้อมูลสำหรับตรวจสอบร่องรอยการโจมตี เพื่อช่วยให้ทีมรักษาความปลอดภัยค้นหาอุปกรณ์ที่อาจติดมัลแวร์ได้
ชื่อแอปไม่ใช่ตัวบ่งชี้ที่เพียงพอ
RedWing สามารถเปลี่ยนชื่อ ไอคอน หน้าตาเว็บไซต์ และรายชื่อแอปเป้าหมายได้อย่างรวดเร็ว ผู้โจมตีจึงสามารถนำมัลแวร์ชุดเดิมกลับมาเผยแพร่ภายใต้ชื่อแอปใหม่ได้ตลอดเวลา
การตรวจสอบเฉพาะชื่อแอปจึงอาจไม่เพียงพอ สิ่งที่ควรเฝ้าระวังคือพฤติกรรมของแอป เช่น การขอ Accessibility การขอเป็นแอป SMS เริ่มต้น การซ่อนไอคอน การปิดข้อจำกัดแบตเตอรี่ และการติดตั้งจากแหล่งภายนอก
สรุป
RedWing เป็นมัลแวร์ Android สำหรับโจรกรรมข้อมูลธนาคารที่ถูกให้เช่าผ่าน Telegram ในรูปแบบบริการสำเร็จรูป ผู้ซื้อสามารถสร้างแอปอันตราย เลือกธนาคารเป้าหมาย และควบคุมโทรศัพท์ของเหยื่อได้โดยไม่ต้องมีทักษะเขียนมัลแวร์ขั้นสูง
ความสามารถของ RedWing ครอบคลุมตั้งแต่การขโมยรหัสผ่านและ OTP การสร้างหน้าล็อกอินปลอม การบันทึกหน้าจอและการพิมพ์ ไปจนถึงการโอนสาย ควบคุมกล้อง ไมโครโฟน และทำธุรกรรมจากโทรศัพท์ของเหยื่อโดยตรง
การป้องกันที่สำคัญที่สุดคือไม่ติดตั้งแอปจากลิงก์หรือแหล่งที่ไม่รู้จัก และไม่อนุญาตสิทธิ์ Accessibility, SMS, กล้อง หรือไมโครโฟนให้กับแอปที่ไม่มีเหตุผลชัดเจนในการใช้งาน
ที่มา thehackernews


















Leave a Reply