‘โทรจันแบงค์กิ้ง’ พบช่องใหม่ โจมตี ‘Google Play Store’

‘โทรจันแบงค์กิ้ง’ พบช่องใหม่ โจมตี ‘Google Play Store’

องค์กรควรมีระบบไซเบอร์ซิเคียวริตี้ที่ครบในทุกมิติ

ตามข้อมูลของ “เทรนด์ไมโคร (Trend Micro)” ระบุว่า มัลแวร์ประเภท Dropper (หยด) ของธนาคาร หรือ ที่เรียกว่า “DawDropper” ถูกพบบน Google Play Store ในปีนี้ 

แสดงให้เห็นว่าโทรจันทางการเงินที่เกิดขึ้นใหม่นี้จะมุ่งเน้นไปที่สถาบันการเงินเพิ่มมากขึ้นในช่วงหลังๆ โดยหลักการทำงานคือผู้กระทำความผิดได้แอบเพิ่มโทรจันธนาคารจำนวนมากขึ้นเรื่อยๆ ไปยัง Google Play Store ผ่านเครื่อง Dropper ที่เป็นตัวการอันตราย

พิสูจน์ให้เห็นว่า เทคนิคดังกล่าวมีประสิทธิภาพในการหลบเลี่ยงการตรวจจับ นอกจากนี้ เนื่องจากมีความต้องการวิธีการใหม่ๆ ในการกระจายมัลแวร์บนมือถือสูง ผู้ประสงค์ร้ายหลายคนอ้างว่า droppers ของพวกเขาสามารถช่วยอาชญากรไซเบอร์คนอื่นๆ ในการแพร่กระจายมัลแวร์บน Google Play Store 

ส่งผลให้ dropper-as-a-service (DaaS) เริ่มตั้งแต่ช่วงปลายปีที่แล้ว มัลแวร์ดรอปเพอร์ตัวใหม่นี้ได้แทรกซึมเข้าไปในแอปพลิเคชั่นมือถือแอนดรอยด์ต่างๆ 

แม้ว่าการโจมตีแบบ dropper ที่เพิ่มขึ้นเหล่านี้อาจดูแปลกใหม่ก็ตาม แต่ก็มีแง่มุมที่เป็นการบุกรุกที่ค่อนข้างธรรมดาเลยก็ว่าได้ อีกแง่หนึ่งสิ่งที่ไม่ใหม่คือการซ่อนมัลแวร์ในแอปเพื่อเพิ่มประสิทธิภาพการทำงานทั่วไปที่ Google Store มีให้ 

ซึ่งเหล่าบรรดาอาชญากรทางไซเบอร์มีการพัฒนาอย่างต่อเนื่องเพื่อตอบสนองการปรับปรุงทางเทคโนโลยีต่างๆ เพื่อหลีกเลี่ยงมัลแวร์และไฟร์วอลล์ และจากการตรวจสอบดูรายละเอียดของ DawDropper ที่ขยายวงกว้างอยู่นี้ ทำให้พบว่ามีโทรจันแบงค์กิ้งอยู่ 4 ประเภท ได้แก่ Octo, Hydra, Ermac และ TeaBot

สำหรับตัวแปร DawDropper ทั้งหมดนี้ ใช้ฐานข้อมูลเรียลไทม์ของ Firebase ซึ่งเป็นฐานข้อมูล NoSQL ที่โฮสต์บนคลาวด์ในการจัดเก็บข้อมูล เป็นเซิร์ฟเวอร์ที่สั่งการและควบคุม (command-and-control หรือ C&C) และโฮสต์ payload ที่เป็นอันตรายบน GitHub

ทั้งนี้อุตสาหกรรมทางการเงินก็มีกลยุทธ์ในการปกป้องทางการเงินอย่างต่อเนื่อง แต่อาชญากรไซเบอร์เห็นว่ามันง่ายมากที่จะขโมยข้อมูลประจำตัวของผู้ใช้งานเพื่อใช้ประโยชน์หรือขายเอาเงินจากหยื่อ 

โดยอาชญากรไซเบอร์มักจะค้นหาวิธีการหลบเลี่ยงการตรวจจับและแพร่กระจายเชื้อไปยังอุปกรณ์ให้ได้มากที่สุด เช่น การซ่อนเพย์โหลดที่เป็นอันตรายใน Droppers เมื่อมีโทรจันแบงค์กิ้งมากขึ้นผ่าน DaaS 

ผู้ประสงค์ร้ายจะมีวิธีการแจกจ่ายมัลแวร์ที่ปลอมแปลงเป็นแอปที่ถูกต้องเพราะง่ายกว่าและประหยัดต้นทุนด้วย โดยมีการคาดการณ์ว่าแนวโน้มมันจะยังคงดำเนินต่อไปเรื่อยๆ โดยมีการแจกจ่ายโทรจันแบงค์กิ้งไปยังแอปพลิเคชัน เช่น Google Play Store และที่อื่นๆ

ขณะนี้ Bank Dropper มีการมุ่งเป้าหมายไปยังผู้ใช้งานโดยตรง ดังนั้นการให้ความรู้แก่ลูกค้าธนาคารจะเป็นประโยชน์อย่างมากเพื่อให้มีความตระหนักมากขึ้นว่าจะไม่โหลดซอฟต์แวร์สำหรับแอปพลิเคชันที่ไม่มีการตรวจสอบ และธนาคารควรตรวจสอบให้แน่ใจเสมอว่ามีการเปิดใช้งานการยืนยันตัวตนแบบหลายปัจจัย (Multi-Factor Authentication) และใช้แอปพลิเคชันตรวจสอบความถูกต้อง แทนที่จะส่งรหัสผ่าน SMS อย่างเดียว

เราจะเห็นได้ว่า การโจมตีทางไซเบอร์มีหลากหลายรูปแบบ องค์กรจึงควรมีระบบ holistic cybersecurity หรือ Cybersecurity mesh กล่าวคือ มีระบบไซเบอร์ซิเคียวริตี้ที่ครบในทุกมิติและทุกๆ จุดที่มีการใช้ข้อมูลจากทั้งลูกค้าหรือซับพลายเชนขององค์กรให้มีระบบไซเบอร์ซิเคียวริตี้ที่ครอบคลุม 

สำหรับประชาชนทั่วไป ก็ควรหมั่นติดตามข่าวสารและใช้เครื่องที่มีลิขสิทธิ์ถูกต้องตามกฏหมายเพื่อจะสามารถอัพเดทซอร์ฟแวร์และป้องกันมัลแวร์ต่างต่างๆ ได้ครับ