มัลแวร์ดูดเงิน Anatsa กลับมาอีกแล้ว เนียนเป็นแอปบน Play Store มีเหยื่อแล้วกว่า 5 หมื่นราย

มัลแวร์ดูดเงิน Anatsa กลับมาอีกแล้ว เนียนเป็นแอปบน Play Store มีเหยื่อแล้วกว่า 5 หมื่นราย

การดาวน์โหลดแอปพลิเคชันอย่างปลอดภัยนั้นถ้าตามข้อแนะนำกันทั่วไปคือ การดาวน์โหลดจากแอปสโตร์อย่างเป็นทางการ แต่หลายครั้งนั้นผู้คัดกรองแอปพลิเคชันของทางแอปสโตร์ก็ทำพลาดจนมีแอปปลอมหลุดรอดเข้ามาสร้างความเดือดร้อนให้ผู้ใช้งานได้

จากรายงานโดยเว็บไซต์ Cyberpress ได้กล่าวถึงการแพร่ระบาดของมัลแวร์ประเภทดูดเงินจากเครื่องของเหยื่อ หรือ Banking Trojan ชื่อ Anatsa ซึ่งเคยมีการระบาดในช่วงปี ค.ศ. 2021 (พ.ศ. 2564) ที่ผ่านมา โดยตัวมัลแวร์นั้นมีอีกชื่อหนึ่งว่า TeaBot มีความสามารถในการสร้างหน้าจอซ้อน (Overlay Attack) ปลอมตัวเป็นแอปพลิเคชันธนาคาร รวมทั้งมีความสามารถในการดักจับการพิมพ์ (Keystroke), ขโมยข้อความสั้น (SMS หรือ Short Message Service) และขโมยรหัสผ่านอื่น ๆ กลับมาระบาดอีกครั้งผ่านทางแอปพลิเคชันปลอมที่มีให้ดาวน์โหลดบนแอปสโตร์อย่างเป็นทางการของผู้ใช้งานระบบปฏิบัติการ Android อย่าง Google Play Store ด้วยการสมอ้างเป็นแอปพลิเคชันสำหรับอ่านเอกสารที่มีชื่อว่า “StellarGrid” โดยปัจจุบันนั้นมีผู้ตกเป็นเหยื่อดาวน์โหลดแอปพลิเคชันปลอมดังกล่าวไปมากกว่า 5 หมื่นรายแล้ว

ซึ่งจากการตรวจสอบนั้นพบว่าไฟล์แพ็คเกจของแอปพลิเคชันดังกล่าวนั้นมีชื่อว่า com.recursivestd.highlogic.stellargrid โดยฉากหน้านั้นจะเป็นการลอกเลียนความสามารถของแอปพลิเคชันสำหรับการอ่านไฟล์เอกสารแบบ PDF และเอกสารอื่น ๆ ซึ่งหน้าเพจของตัวแอปพลิเคชันบน Play Store นั้นมีการโชว์ภาพอินเทอร์เฟซที่ดูสะอาดตาใช้งานง่ายของแอปพลิเคชันดังกล่าว แต่ในความเป็นจริงแล้วหลังจากที่ติดตั้งแอปพลิเคชันดังกล่าวลงเครื่อง ตัวแอปพลิเคชันก็จะทำหน้าที่เป็นมัลแวร์นกต่อ (Loader) และทำการดาวน์โหลดไฟล์มัลแวร์ (Payload) ลงมาจากเซิร์ฟเวอร์ภายนอกโดยทันที ซึ่งหลังจากติดตั้งเสร็จ ตัวมัลแวร์ก็จะทำการหลอกขอสิทธิ์ในการใช้งานโหมดช่วยเหลือผู้พิการ หรือ Accesibility Mode แล้วทำการเชื่อมต่อกับแอปพลิเคชันธนาคารบนเครื่อง เช่น Revolut, Wise, หรือ Deutsche Bank เพื่อขโมยข้อมูลในทันที ทั้งยังมีการใช้งานระบบ Automated Transfer Service (ATS) ที่จะทำการลอกเลียนแบบพฤติกรรมโอนเงินของเหยื่อ เพื่อดูดเงินจากบัญชีธนาคารอีกด้วย

สำหรับแอปพลิเคชันปลอมตัวนี้นั้นถึงแม้จะมีคะแนนแค่ปานกลาง แต่ก็มีการดาวน์โหลดอย่างต่อเนื่อง โดยทางแหล่งข่าวคาดว่ามีผู้หลงเข้ามาดาวน์โหลดแอปพลิเคชันดังกล่าวผ่านทางโฆษณาบนโซเชียลมีเดีย หรือผ่านทางรีวิวปลอม โดยปัจจุบัน ณ ช่วงเวลาที่เขียนข่าวนั้น ตัวแอปพลิเคชันยังคงสามารถดาวน์โหลดได้บน Google Play Store อยู่ ซึ่งทางแหล่งข่าวนั้นได้แนะนำให้ผู้ที่เผลอติดตั้งไปแล้วทำการถอนการติดตั้งในทันที รวมทั้งทำการยกเลิกสิทธิ์การเข้าถึงระบบที่ถูกขอเข้ามาใหม่ทั้งหมด และใช้งานแอปพลิเคชันด้านความปลอดภัยไซเบอร์เพื่อล้างมัลแวร์ออกจากเครื่องกับป้องกันไม่ให้มัลแวร์เข้ามาติดซ้ำบนเครื่อง