TrickMo มัลแวร์ Android กลับมาใหม่ เล็งแอปธนาคารและคริปโตผ่านแอปปลอม
มือถือ Android ที่มีแอปธนาคาร แอปคริปโต หรือแอปยืนยันตัวตน กลายเป็นเป้าหมายสำคัญของ TrickMo มัลแวร์สายดูดข้อมูลการเงินที่กลับมาในเวอร์ชันใหม่ และรอบนี้ไม่ได้อันตรายแค่การขโมยรหัสผ่าน แต่ยังพยายามควบคุมเครื่องและซ่อนการติดต่อกับเซิร์ฟเวอร์ให้ตรวจจับยากขึ้น
รายงานจาก ThreatFabric ระบุว่า ทีม Mobile Threat Intelligence พบ TrickMo เวอร์ชันใหม่ในช่วงเดือนมกราคมถึงกุมภาพันธ์ 2026 โดยกลุ่มเป้าหมายที่พบชัดคือผู้ใช้ Android ในฝรั่งเศส อิตาลี และออสเตรีย โดยเฉพาะคนที่ใช้งานแอปธนาคาร กระเป๋าคริปโต และแอปยืนยันตัวตน
สรุปเร็ว
- TrickMo เป็นมัลแวร์ Android กลุ่ม Banking Trojan และ Device Takeover
- จุดเสี่ยงหลักคือการหลอกให้ติดตั้งแอปปลอม เช่น แอปที่แอบอ้างเป็น TikTok หรือแอปสตรีมมิง
- เมื่อได้สิทธิ์ Accessibility Service มัลแวร์อาจควบคุมหน้าจอ อ่านข้อความ ดักแจ้งเตือน และขโมย OTP ได้
- เวอร์ชันใหม่ย้ายช่องทางติดต่อ C2 ไปใช้เครือข่าย TON ผ่าน .adnl ทำให้บล็อกยากกว่าโดเมนทั่วไป
- ตอนนี้ข้อมูลที่ยืนยันได้ยังชี้เป้าหมายหลักในยุโรป ไม่ใช่การยืนยันว่าระบาดในไทยแล้ว
TrickMo อันตรายตรงไหน
จุดที่ทำให้ TrickMo น่ากลัวคือมันไม่ได้รอขโมยข้อมูลแบบเงียบ ๆ อย่างเดียว แต่พยายามยึดการควบคุมมือถือผ่านสิทธิ์ Accessibility Service ซึ่งเดิมเป็นฟีเจอร์ช่วยอำนวยความสะดวกให้ผู้ใช้ที่ต้องการความช่วยเหลือในการใช้งานเครื่อง
ถ้าเหยื่อเผลอให้สิทธิ์นี้กับแอปปลอม มัลแวร์อาจมองเห็นสิ่งที่เกิดขึ้นบนหน้าจอ กดปุ่มแทนผู้ใช้ เปิดแอป บันทึกการพิมพ์ และซ้อนหน้าล็อกอินปลอมทับแอปธนาคารจริง เพื่อหลอกเอารหัสผู้ใช้ รหัสผ่าน หรือข้อมูลสำคัญอื่น ๆ
สิ่งที่ TrickMo ทำได้ในรายงานรอบนี้
- ซ้อนหน้าจอปลอมทับแอปธนาคารหรือแอปการเงิน
- ดักข้อความ SMS และการแจ้งเตือน
- เก็บข้อมูลการพิมพ์
- บันทึกหน้าจอหรือสตรีมหน้าจอแบบสด
- ควบคุมเครื่องจากระยะไกล
- ใช้เครื่องที่ติดมัลแวร์เป็นจุดผ่านทราฟฟิกหรือ proxy
- ใช้คำสั่งด้านเครือข่าย เช่น ping, telnet, traceroute และ curl จากตำแหน่งเครือข่ายของเหยื่อ
พูดง่าย ๆ คือ ถ้ามือถือติด TrickMo ผู้โจมตีอาจไม่ได้เห็นแค่รหัสผ่าน แต่ยังอาจใช้มือถือเครื่องนั้นเป็นทางผ่านในการทำธุรกรรมหรือสำรวจเครือข่ายที่เครื่องเชื่อมต่ออยู่ได้ด้วย
ทำไมเวอร์ชันใหม่นี้ถึงรับมือยากขึ้น
มัลแวร์ทั่วไปมักติดต่อกับเซิร์ฟเวอร์ควบคุมผ่านโดเมนหรือ IP บนอินเทอร์เน็ตปกติ เมื่อทีมความปลอดภัยรู้พิกัด ก็อาจบล็อกโดเมน ยึดโดเมน หรือปิดโครงสร้างพื้นฐานบางส่วนได้
แต่ TrickMo เวอร์ชันใหม่นี้เปลี่ยนไปใช้ The Open Network หรือ TON เป็นช่องทางติดต่อหลัก โดยใช้ endpoint แบบ .adnl ผ่าน proxy ที่ฝังอยู่ในเครื่อง ทำให้การบล็อกแบบเดิมทำได้ยากขึ้น เพราะไม่ได้พึ่ง DNS หรือโดเมนสาธารณะเหมือนมัลแวร์ทั่วไป
ThreatFabric ยังระบุด้วยว่า TrickMo ใช้ DNS-over-HTTPS กับบางส่วนที่ยังต้องเรียก host บนอินเทอร์เน็ตปกติ ทำให้การมองเห็นคำขอ DNS จากเครือข่ายของเหยื่อลดลงไปอีก
ใครควรระวังเป็นพิเศษ
กลุ่มที่ควรระวังมากคือผู้ใช้ Android ที่ชอบติดตั้งไฟล์ APK นอก Play Store หรือกดติดตั้งแอปจากลิงก์โฆษณา ลิงก์แชต กลุ่ม Telegram เว็บไซต์ดาวน์โหลด หรือหน้าเว็บที่อ้างว่าเป็นแอปเวอร์ชันพิเศษ
โดยเฉพาะถ้าในเครื่องมีแอปกลุ่มนี้:
- แอปธนาคาร
- แอปกระเป๋าคริปโต
- แอปซื้อขายคริปโต
- แอปยืนยันตัวตน
- แอปที่รับ OTP หรือแจ้งเตือนธุรกรรม
- แอปอีคอมเมิร์ซที่ผูกบัตรหรือบัญชีไว้
สิ่งที่หลายคนอาจพลาดคือ มัลแวร์แบบนี้มักไม่ได้มาในชื่อที่ดูน่าสงสัยเสมอไป แต่อาจปลอมเป็นแอปที่ดูคุ้นตา เช่น แอปวิดีโอ แอปสตรีมมิง หรือแอปที่อ้างว่าเป็นเวอร์ชันพิเศษของแพลตฟอร์มยอดนิยม
Checklist ลดความเสี่ยงบน Android
- ติดตั้งแอปจาก Google Play Store หรือแหล่งทางการเท่านั้น
- หลีกเลี่ยงไฟล์ APK จากลิงก์โฆษณา โซเชียล หรือแชตส่วนตัว
- ไม่ให้สิทธิ์ Accessibility Service กับแอปที่ไม่จำเป็นจริง
- เปิด Google Play Protect ไว้เสมอ
- อัปเดตระบบ Android และแอปธนาคารให้เป็นเวอร์ชันล่าสุด
- ถ้าแอปที่เพิ่งติดตั้งขอสิทธิ์อ่านข้อความ แจ้งเตือน หรือควบคุมหน้าจอ ให้หยุดใช้ทันที
- แยกเครื่องที่ใช้ทำธุรกรรมการเงินออกจากเครื่องที่ชอบทดลองติดตั้งแอปนอก Store
- ถ้าพบหน้าล็อกอินธนาคารแปลกไปจากเดิม ให้ปิดแอปและติดต่อธนาคารผ่านช่องทางหลัก
สัญญาณที่ควรสงสัย
ถ้ามือถือเริ่มมีอาการแปลกหลังติดตั้งแอปใหม่ เช่น การแจ้งเตือนหายไปเอง เครื่องเงียบผิดปกติ แอปธนาคารเด้งหน้าล็อกอินซ้ำ ๆ มีแอปแปลกในเครื่อง หรือมีคำขอสิทธิ์ Accessibility ที่ไม่คุ้นชื่อ ควรหยุดใช้งานแอปการเงินบนเครื่องนั้นก่อน
กรณีที่มีความเสี่ยงเกี่ยวกับบัญชีธนาคารหรือคริปโต ควรเปลี่ยนรหัสผ่านจากอุปกรณ์ที่มั่นใจว่าสะอาด และติดต่อธนาคารหรือผู้ให้บริการกระเป๋าคริปโตผ่านช่องทางทางการโดยตรง ไม่ควรกดลิงก์จาก SMS หรือโฆษณาที่เด้งขึ้นมาในช่วงเดียวกัน
ประเด็นสำคัญของ TrickMo รอบนี้ไม่ใช่แค่การกลับมาของมัลแวร์เก่า แต่เป็นการยกระดับวิธีซ่อนตัวและควบคุมเครื่องให้แนบเนียนขึ้น สำหรับผู้ใช้ทั่วไป สิ่งที่ช่วยลดความเสี่ยงได้มากที่สุดยังเป็นเรื่องพื้นฐานมาก ๆ คือไม่ติดตั้งแอปนอกแหล่งทางการ ไม่ให้สิทธิ์ควบคุมเครื่องกับแอปแปลก และอย่ามองข้ามหน้าจอขอสิทธิ์ที่ดูเหมือนกดผ่าน ๆ ได้
อ้างอิง: https://www.threatfabric.com/blogs/new-trickmo-variant-device-take-over-malware-targeting-banking-fintech-wallet-auth-app, https://thehackernews.com/2026/05/new-trickmo-variant-uses-ton-c2-and.html, https://www.thaicert.or.th/
เขียนโดย Annonymus TN
ทำไมปลาปักเป้าต้องพองตัว แล้วการพองตัวแบบนี้จะทำให้ตัวมันเจ็บหรือเป็นอันตรายไหมนะ?
แบรนด์เครื่องใช้ไฟฟ้าญี่ปุ่นหายไปไหนใน 20 ปีที่ผ่านมา
108 ท่าบนเตียง มีอะไรบ้าง Sex position ท่าเด็ดบนเตียง
"กลิ่นเด็ก" (Newborn Scent) กลิ่นมหัศจรรย์ที่มีแค่ช่วงวัยเด็กเท่านั้น
ทำไมขวดซีอิ๊ว น้ำปลา มักจะมี "ปุ่มนูนเล็กๆ" อยู่ใต้ขวด?
สุดยอดบัตรเครดิตของไทย ที่มีเงื่อนไขการได้บัตรยากมากที่สุด
สถานที่ท่องเที่ยวในไทย ที่ชาวต่างชาติรู้จักและนิยมมากกว่าคนไทย
"ขี้ตา" บอดี้การ์ดตามธรรมชาติ ที่ปกป้องดวงตา
5 จังหวัดที่มีงูเยอะที่สุดในประเทศไทย
5 จังหวัด ที่เจองูกะปะเยอะที่สุดในประเทศไทย
รวม เลขปฏิทินจีน งวด 1/7/69
อาหารที่ไม่ควรรับประทานบ่อย อันตรายถึงชีวิต!"กลิ่นเด็ก" (Newborn Scent) กลิ่นมหัศจรรย์ที่มีแค่ช่วงวัยเด็กเท่านั้น108 ท่าบนเตียง มีอะไรบ้าง Sex position ท่าเด็ดบนเตียง
คอมพิวเตอร์แบรนด์ไทย ที่ประสบความสำเร็จมากที่สุดตลอดกาล
ข่าววันนี้
