ไม่ใช่แค่ลิงก์ TTC-CERT วิเคราะห์มัลแวร์ขโมยเงินมุ่งเป้าคนไทย พบเคยปลอมตัวเป็น DSI ก่อนหันมาปลอมเป็นสรรพากร – SMS Marketing ราคาถูกที่สุด
เมื่อวานนี้มีข่าวถึงเข้าของบัญชีถูกมิจฉาชีพหลอกส่งลิงก์ผ่าน LINE โดยอ้างว่าค้างภาษี โดยเนื้อข่าวจาก CH3Plus ระบุว่าเมื่อกดลิงก์ไปแล้วโทรศัพท์ค้าง และภายหลังเงินก็ถูกโอนออกจากบัญชีต่างๆ รวมกว่า 1.4 ล้านบาท แม้ว่าเราจะตรวจสอบไม่ได้แน่ชัดว่าคนร้ายในกรณีนี้โจมตีโทรศัพท์เหยื่อได้อย่างไรหากเหยื่อเพียงแค่กดลิงก์ในข้อความ แต่รายงานจากศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม (TTC-CERT) ก็เคยวิเคราะห์มัลแวร์ที่รูปแบบใกล้เคียงกันอย่างมากเอาไว้
TTC-CERT ระบุว่าพบมัลแวร์ปลอมตัวเป็นหน่วยงานภาครัฐ โดยครั้งนี้ปลอมตัวเป็นกรมสรรพากร แล้วหลอกล่อเหยื่อผ่านโทรศัพท์หรือแอปแชต จากนั้นส่งลิงก์ให้เหยื่อเข้าเว็บปลอมที่ปลอมเหมือนเป็นเว็บกรมสรรพากร แต่มีลิงก์กดเพื่อดาวน์โหลดเพิ่มเข้ามา เมื่อกดแล้วจะพยายามติดตั้งแอปชื่อ Revenue ที่ภายในเป็น Android Remote Access Trojan (RAT) สามารถควบคุมเครื่องและอ่านข้อมูลได้อย่างกว้างขวาง
เมื่อเหยื่อติดตั้งแอปแล้ว มัลแวร์จะเก็บข้อมูลแอปธนาคารที่อยู่ในเครื่องส่งกลับไปยังเซิร์ฟเวอร์ควบคุม รวมถึงรหัสเข้าแอปธนาคาร โดยตัวมัลแวร์ขอสิทธิ์สำหรับการอ่านและส่ง SMS ในตัว, สามารถอ่านไฟล์ได้ทั้งหมด, เปิดหน้าจอทับแอปพลิเคชั่นอื่นๆ, และเข้าถึงฟีเจอร์ Accessibility ที่ควบคุมหน้าจอได้สมบูรณ์
ทาง TTC-CERT พบว่าเซิร์ฟเวอร์ควบคุมของกลุ่มนี้ เคยแสดงหน้าเว็บปลอมเป็นหน่วยงานอื่นๆ มาก่อนแล้ว ได้แก่ กระทรวงการคลัง, กองทุนเงินให้กู้ยืมเพื่อการศึกษา, ธนาคารออมสิน, ธนาคารอิสลามแห่งประเทศไทย, ธนาคารอาคารสงเคราะห์, กรมสรรพสามิต, สำนักงานสลากกินแบ่งรัฐบาล, กรมสอบสวนคดีพิเศษ
ปัญหาของการใช้ Accessibility API ทำให้แอปสามารถอ่านหน้าจอได้โดยผู้ใช้ไม่รู้ตัว และกลายเป็นช่องทางให้มัลแวร์ต่างๆ ขโมยข้อมูลจากผู้ใช้เป็นปัญหาที่กูเกิลรับรู้แล้ว และใน Android 13 กูเกิลก็พยายามจำกัดการใช้งาน เพื่อให้ผู้ใช้รู้ตัวว่ากำลังให้สิทธิ์ที่สำคัญมากกับแอป
ที่มา – TTC-CERT, รายงาน Android Remote Access Trojan (RAT)
ภาพหน้าจอเว็บกรมสรรพากรปลอม พร้อมลิงก์ให้ดาวน์โหลดแอป