พบมัลแวร์ดูดเงินตัวใหม่ ใช้หน้าจอ KYC ปลอม หลอกขโมยข้อมูลยืนยันตัวตน

พบมัลแวร์ดูดเงินตัวใหม่ ใช้หน้าจอ KYC ปลอม หลอกขโมยข้อมูลยืนยันตัวตน

เหยื่อ

การทำ KYC หรือ Know-Your-Customer นั้นเรียกได้ว่าเป็นขั้นตอนที่จำเป็นในการใช้งานบริการต่าง ๆ ส่วนหนึ่งก็เพื่อการกลั่นกรองผู้ใช้งานให้เป็นไปตามกฎหมาย อีกส่วนก็เพื่ออำนวยความสะดวกในการกู้บัญชีคืน และด้วยความจำเป็นนี้เอง ก็ได้มีแฮกเกอร์นำเอาขั้นตอนนี้มาใช้ประโยชน์เพื่อหลอกขโมยข้อมูลสำคัญจากเหยื่อ

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญของมัลแวร์ประเภทดูดเงิน หรือ Banking Malware ตัวใหม่ที่มีชื่อว่า KYCShadow ซึ่งมุ่งเน้นการโจมตีกลุ่มผู้ใช้งานโทรศัพท์มือถือบนระบบปฏิบัติการ Android ด้วยการหลอกขโมยรหัสผ่านทางหน้า KYC ปลอม ซึ่งแคมเปญในการแพร่กระจายมัลแวร์นี้จะเริ่มต้นจากการใช้งานบริการแชท WhatsApp หลอกลวงให้เหยื่อทำการติดตั้งแอปพลิเคชันสำหรับการทำการยืนยันตัวตนกับธนาคาร (ปลอม) ซึ่งตัวแอปปลอมนั้นจะมีการสร้างให้ดูมีความน่าเชื่อถือมาก โดยหลังจากที่ติดตั้งเสร็จ ตัวมัลแวร์ก็จะหลอกให้เหยื่อทำการกรอกข้อมูลสำคัญต่าง ๆ เพื่อยืนยันตัวตน เช่น เลขรหัส PIN ของบัตร ATM, หมายเลขบัตรประจำตัวประชาชน, หมายเลขโทรศัพท์มือถือ และข้อมูลสำคัญอื่น ๆ

หลังจากที่เหยื่อทำการกรอกข้อมูลทุกอย่างเสร็จเรียบร้อยแล้วกดยืนยันเพื่อส่งข้อมูล ตัวแอปปลอมก็จะขึ้นข้อความว่า การยืนยันตัวตนกำลังถูกตำเนินการอยู่ (Verification is in Progress) แต่แท้จริงแล้วตัวมัลแวร์นั้นกำลังส่งข้อมูลของเหยื่อกลับไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่ตั้งอยู่ที่ jsonapi[.]biz

ทางทีมวิจัยจาก Cyfirma บริษัทผู้เชี่ยวชาญเรื่องการตรวจสอบภัยไซเบอร์ ได้กล่าวว่าจากการตรวจสอบของทีมงานพบว่ามัลแวร์ตัวนี้พึ่งถูกแพร่กระจายในช่วงเดือนเมษายน ที่ผ่านมา โดยได้มีการระบาดอย่างหนักในประเทศอินเดีย ซึ่งเมื่อตรวจสอบในเชิงเทคนิคแล้วพบว่า ตัวมัลแวร์นั้นมีการใช้งานมัลแวร์นกต่อ (Dropper) เพื่อเข้าสู่เครื่องมากถึง 2 ชั้นเลยทีเดียว 

ซึ่งในขั้นแรกนั้นมัลแวร์นกต่อจะมาในรูปแบบแอปพลิเคชันที่ทำหน้าที่ในการถอดรหัส (Decryption) และปล่อยไฟล์มัลแวร์ (Payload) ตัวที่สองลงมาในฉากหลัง (Background) ซึ่งทั้งหมดนี้เป็นไปเพื่อหลบเลี่ยงการถูกตรวจจับโดยระบบรักษาความปลอดภัยบนเครื่องของเหยื่อ โดยทั้งหมดจะเริ่มต้นขึ้นหลังจากที่เหยื่อติดตั้งแอปพลิเคชันเสร็จ ตัวแอปพลิเคชันก็จะอ้างว่าเหยื่อต้องทำการติดตั้งอัปเดต (Update Required) เสียก่อน ซึ่งถ้าเหยื่อกดติดตั้งอัปเดต (Install Update) ซึ่งหลังจากจากกดแล้ว ก็จะนำไปสู่คำขอในการเชื่อมต่อกับเครือข่ายส่วนตัว หรือ VPN (Virtual Private Network) โดยเมื่อคำขอทั้ง 2 ได้รับการอนุมัติโดยเหยื่อแล้ว ก็จะนำไปสู่การถอดรหัสและคลายไฟล์ด้วยการใช้อัลกอริทึม XOR ซึ่งถูกฝังเป็นส่วนหนึ่งกับชื่อแพ็คเกจ เพื่อป้องกันการถอดรหัสแพ็คเกจโดยเหล่านักวิเคราะห์มัลแวร์ ซึ่งแพ็คเกจมัลแวร์ดังกล่าวนั้นจะถูกเขียนลงไปยังโฟลเดอร์ชั่วคราว ก่อนที่จะทำการติดตั้งอย่างเงียบเชียบผ่านทาง PackageInstaller API ของตัวระบบ Android โดยที่เหยื่อนั้นไม่ต้องมีปฏิสัมพันธ์ด้วยแต่อย่างใด

ซึ่งหลังจากที่ตัว Payload ตัวที่ 2 ซึ่งมีชื่อว่า com.am5maw3.android ได้ถูกติดตั้ง และทำงานบนเครื่องของเหยื่อเป็นที่เรียบร้อยแล้ว ก็จะทำการซ่อนไอคอนของตนเองเพื่อหลบซ่อนตัวให้พ้นสายตาจากเหยื่อ นอกจากนั้นก็ยังมีการสร้างความคงทนบนระบบ (Persistent) ด้วยการลงทะเบียนตัวเองกับ Firebase Cloud Messaging เพื่อใช้เป็นช่องทางในการรับคำสั่งแบบ Push จากแฮกเกอร์ที่อยู่เบื้องหลัง จากนั้นตัวมัลแวร์ก็จะทำการขอสิทธิ์ในการเข้าถึงข้อความสั้น (SMS หรือ Short Message Service), ส่วนควบคุมการโทรเข้าออก และขอสิทธิ์ในการยกเว้น (Exception) ไม่ให้เป็นส่วนหนึ่งของการทำงานของระบบเพิ่มประสิทธิภาพแบตเตอรี่ (Battery Optimization) จากนั้นก็จะทำการดำเนินการขโมยข้อมูลของเหยื่อต่อไป