พบการกลับมาของมัลแวร์ดูดเงิน TrickMo มุ่งเล่นงานแอปธนาคาร, แอปคริปโต

พบการกลับมาของมัลแวร์ดูดเงิน TrickMo มุ่งเล่นงานแอปธนาคาร, แอปคริปโต

และแอปยืนยันตัวตน

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบการกลับมาของมัลแวร์ประเภท Banking Trojan ที่มีชื่อว่า TrickMo ซึ่งเคยระบาดมาแล้วในช่วงปี ค.ศ. 2025 (พ.ศ. 2568) แต่ในคราวนี้ได้กลับมาในเวอร์ชันใหม่ที่มีความสามารถที่มากกว่าเดิม, ล่องหน (Stealth) ภายในระบบได้แนบเนียนกว่าเดิม และหยุดยั้งได้ยากมากกว่าเดิม ซึ่งมัลแวร์เวอร์ชันล่าสุดนี้ได้ถูกตรวจพบในช่วงเดือนมกราคม ถึง กุมภาพันธ์ ที่ผ่านมาโดยทีมวิจัยจาก ThreatFabric บริษัทผู้เชี่ยวชาญด้านการปกป้องลูกค้าธนาคารจากการฉ้อโกงออนไลน์ โดยทางทีมวิจัยพบว่าการแพร่กระจายของมัลแวร์ดังกล่าวนั้นทำผ่านโฆษณาปลอมบนโซเชียลมีเดีย Facebook ด้วยการอ้างว่าเป็นโฆษณาของแอปพลิเคชัน TikTok แต่ความจริงดาวน์โหลดไปแล้วเป็นมัลแวร์นกต่อ (Loader) ซึ่งจะนำไปสู่การฝังมัลแวร์ TrickMo ลงบนเครื่องของเหยื่ออีกทีหนึ่ง โดยทางทีมวิจัยพบว่าแฮกเกอร์ได้มุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งานโทรศัพท์มือถือบนระบบปฏิบัติการ Android ที่อาศัยอยู่ในประเทศฝรั่งเศส, ออสเตรีย และอิตาลี

สำหรับตัวมัลแวร์ TrickMo นั้น นอกจากจะเป็น Banking Trojan แล้ว ยังได้ถูกจัดหมวดหมู่ให้อยู่ในกลุ่มของมัลแวร์ยึดเครื่อง (Device Takeover Malware) จากการที่ตัวมัลแวร์นั้นสามารถควบคุมระบบการมีปฏิสัมพันธ์ระหว่างผู้ใช้งานกับเครื่อง (Interactive Control) ได้อย่างสมบูรณ์แบบ ผ่านการใช้ประโยชน์จากระบบช่วยเหลือผู้ใช้งานที่พิการ (Accesibility Mode) โดยหลังจากที่มัลแวร์เข้าสู่เครื่อง และใช้งานโหมดดังกล่าวได้แล้ว ก็จะเริ่มทำการโจมตีด้วยวิธีต่าง ๆ เช่น

ใช้หน้าจอซ้อน (Overlay Attack) ซ้อนหน้าล็อกอินปลอมทับแอปพลิเคชันธนาคารเพื่อหลอกขโมยรหัสเข้าใช้งาน ซึ่งตัวมัลแวร์นั้นจะเก็บข้อมูลการพิมพ์ (Keystroke) ต่าง ๆ แล้วทำการส่งกลับไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control)

ดักเก็บข้อมูลข้อความสั้น (SMS หรือ Short Message Service) รวมไปถึงการแจ้งเตือน (Notification) ซึ่งจะเน้นการขโมยข้อมูลสำคัญเช่น รหัสผ่านแบบใช้ครั้งเดียว (OTP หรือ One-Time Password) นอกจากนั้นตัวมัลแวร์ยังสามารถปิดเสียง และ การสั่น เพื่อไม่ให้ผู้ใช้งานรู้ตัวอีกด้วย

นอกจากด้านการขโมยข้อมูลแล้วตัวมัลแวร์ยังมีการใช้งานโมดูล (Module) ที่มีชื่อว่า dex.module ซึ่งจะนำมาใช้ในการยิงแกนกลางของระบบควบคุมจากระยะไกล (Remote-Control Engine Core) ลงไปยัง Process ของระบบปฏิบัติการ Android ทำให้ตัวมัลแวร์นั้นล่องหน ตรวจจับได้ยาก

สิ่งที่ถูกปรับปรุงมาจากเวอร์ชันก่อนมากที่สุดอย่างหนึ่ง คงจะหนีไม่พ้นระบบการติดต่อกับเซิร์ฟเวอร์ C2 ที่รุ่นดั้งเดิมจะใช้ระบบการติดต่อผ่านโครงสร้างพื้นฐาน (Infrastructure) บนระบบอินเทอร์เน็ตแบบทั่วไป ทำให้สามารถถูกปิด หรือถูกปราบปรามโดยง่าย ทำให้ทางทีมพัฒนาได้ทำการยกระดับขึ้นมาเป็นการติดต่อแบบเครื่องต่อเครื่อง หรือ Peer-to-Peer ผ่านทางเครือข่ายของ The Open Network หรือเป็นที่รู้จักกันในชื่อย่อว่า TON โดยในระบบนี้แทนที่จะติดต่อผ่านโดเมน (Domain) เว็บไซต์ตามปกติ กลับติดต่อสู่เครื่องมือปลายทาง (Endpoint) ที่ตัวที่อยู่ (Address) ลงท้ายว่า .adnl ผ่านเครือข่ายดังกล่าวแทน ซึ่งที่อยู่ดังกล่าวนั้นจะไม่ปรากฎบนระบบอินเทอร์เน็ตตามปกติ ทำให้ถูกบล็อกและถูกปราบปรามได้ยากกว่าเดิม

นอกจากนั้นตัวมัลแวร์แทนที่จะใช้งาน DNS resolver บนเครื่องตามปกติ กลับใช้งาน DNS-over-HTTPS เพื่อซ่อนโดเมนต่าง ๆ ที่เกี่ยวข้องกับมัลแวร์จากระบบสอดส่อง (Monitor) บนระบบของเหยื่อ ทั้งยังสามารถพรางตัวไปในการจราจรของข้อมูล (Data Traffic) อื่น ๆ ที่ใช้งานเครือข่าย TON จนถูกตรวจจับได้ยากมากขึ้นยิ่งกว่าเดิมอีกด้วย