พบ ‘โทรจัน’ ขโมยข้อมูลไบโอเมตริก เพื่อเข้าถึงบัญชีธนาคารเหยื่อ (1)
กลุ่มอาชญากรรมไซเบอร์พัฒนาชุดมัลแวร์ธนาคารบนมือถือที่ซับซ้อน ใช้เครื่องมือการสลับใบหน้าที่ขับเคลื่อนด้วยเอไอ ขโมยข้อมูลการจดจำใบหน้า ข้อมูลระบุตัวตน รวมถึงข้อมูลไบโอเมตริก
ทีมนักวิจัยได้ติดตามภัยคุกคาม “GoldFactory” ตั้งแต่กลางปี 2566 ซึ่งเป็นกลุ่มอาชญากรรมไซเบอร์ที่ใช้ภาษาจีนในการสื่อสาร ได้พัฒนาชุดมัลแวร์ธนาคารบนมือถือที่ซับซ้อน
โดยเป้าหมายหลักคือธนาคารในภูมิภาคเอเชียแปซิฟิก (APAC) โดยเฉพาะในไทยและเวียดนาม ซึ่งในขณะนี้มีสถาบันการเงินมากกว่า 50 แห่งในเวียดนามที่ตกเป็นเป้าหมายแล้ว
โทรจันแอนดรอยด์นี้มีชื่อว่า "GoldDigger" ทั้งยังค้นพบโทรจันมือถือที่ซับซ้อนตัวใหม่ที่มุ่งเป้าไปที่ผู้ใช้ไอโอเอส โดยเฉพาะซึ่งมีชื่อว่า GoldPickaxe.iOS โดยตระกูล GoldPickaxe มีทั้งเวอร์ชันสำหรับไอโอเอสและแอนดรอยด์และมีการอัพเดทเป็นประจำเพื่อเพิ่มขีดความสามารถและหลบเลี่ยงการตรวจจับ
GoldPickaxe.iOS สามารถรวบรวมข้อมูลการจดจำใบหน้า ข้อมูลระบุตัวตน ข้อมูลไบโอเมตริก และการสกัดกั้น SMS ซึ่งมีฟังก์ชันการทำงานเหมือนกันกับแอนดรอยด์ โดยแฮกเกอร์ใช้การสลับใบหน้าที่ขับเคลื่อนด้วยเอไอเพื่อสร้าง Deepfakes รวมกับข้อมูลประจำตัวและความสามารถในการสกัดกั้น SMS ช่วยให้แฮกเกอร์สามารถเข้าถึงบัญชีธนาคารของเหยื่อโดยไม่ต้องได้รับอนุญาต ซึ่งเป็นเทคนิคใหม่ของการขโมยเงิน
สำหรับหลักการทำงานเริ่มจากแฮกเกอร์ใช้แพลตฟอร์มทดสอบแอปพลิเคชันมือถือของ Apple คือ TestFlight เพื่อกระจายมัลแวร์ตั้งแต่แรก หลังจากลบแอพที่เป็นอันตรายออกจาก TestFlight แฮกเกอร์จะใช้แผนวิศวกรรมสังคมแบบหลายขั้นตอนเพื่อชักชวนเหยื่อให้ติดตั้งโปรไฟล์การจัดการอุปกรณ์เคลื่อนที่ (Mobile Device Management หรือ MDM) สิ่งนี้เองที่ทำให้แฮกเกอร์สามารถควบคุมอุปกรณ์ของเหยื่อได้อย่างสมบูรณ์
นอกจากนี้นักวิจัยยังพบมัลแวร์รูปแบบใหม่ที่ได้รับการพัฒนามาจาก GoldDigger ซึ่งมีชื่อว่า GoldDiggerPlus โดยมีการขยายฟังก์ชันการทำงาน ช่วยให้โทรหาเหยื่อได้แบบเรียลไทม์ และดำเนินการผ่าน APK ที่ออกแบบมาเป็นพิเศษซึ่งมีชื่อว่า GoldKefu
เมื่อเหยื่อคลิกปุ่มติดต่อฝ่ายบริการลูกค้าปลอม GoldKefu จะตรวจสอบว่าเวลาปัจจุบันอยู่ภายในชั่วโมงทำงานที่แฮกเกอร์กำหนดไว้หรือไม่ หากเป็นเช่นนั้น มัลแวร์จะพยายามค้นหาผู้ให้บริการฟรีเพื่อโทรผ่านให้เหมือนกับว่ากำลังใช้งานศูนย์บริการลูกค้าจริง
การพัฒนาของโทรจัน GoldFactory เริ่มจาก เดือน มิ.ย. 23 - GoldDigger เป็นโทรจันธนาคาร Android แบบคลาสสิกที่เข้าถึงและควบคุมอุปกรณ์, เดือน ก.ย. 23 - GoldDiggerPlus ยังเป็นมัลแวร์ Android ที่ขยายการทำงานของ GoldDigger
เดือน ก.ย. 23 - GoldKefu เป็นโทรจันที่ฝังอยู่ใน GoldDiggerPlus มีเว็บปลอมและเปิดใช้งานการโทรด้วยเสียงไปยังเหยื่อแบบเรียลไทม์, เดือน ต.ค. 23 - GoldPickaxe เป็นโทรจันที่ออกแบบมาสำหรับทั้งแพลตฟอร์มไอโอเอส และแอนดรอยด์ เพื่อขโมยข้อมูลส่วนบุคคลและข้อมูลไบโอเมตริกซ์
วิธีการที่ GoldFactory ใช้โจมตีคือ เทคนิคการ smishing และฟิชชิงร่วมกับทีมแฮกเกอร์หลักที่สื่อสารด้วยภาษาจีนและทีมงานท้องถิ่นที่เชี่ยวชาญทั้งภาษาไทยและเวียดนามเพื่อดำเนินกิจกรรมที่เป็นอันตราย เพราะการพูดภาษาท้องถิ่นถือเป็นสิ่งสำคัญสำหรับการสร้างความไว้วางใจและความมั่นใจกับเหยื่อ
นอกจากนี้ยังพบตัวอย่าง SMS ที่เขียนเป็นภาษาไทยที่ใช้ในแคมเปญฟิชชิ่งอีกด้วย หลักฐานนี้ชี้ให้เห็นถึงการมีอยู่ของเครือข่ายอาชญากรไซเบอร์ที่หลากหลายซึ่งประกอบด้วยบุคคลจากประเทศต่างๆ หรือการใช้บริการท้องถิ่นเพื่อเผยแพร่มัลแวร์ไปยังอุปกรณ์ของเหยื่อ
นื่ถือเป็นอีกหนึ่งเรื่องที่น่าจับตามองสำหรับแฮกเกอร์มากขึ้น เมื่อธนาคารแห่งประเทศไทยได้แนะนำให้ธนาคารใช้การยืนยันตัวตนด้วยไบโอเมตริกซ์ใบหน้าแทนการใช้ OTP เมื่อทำธุรกรรมที่มีมูลค่าตั้งแต่ 50,000 บาทขึ้นไป เริ่มตั้งแต่เดือนมี.ค. 2566
เมื่อไม่กี่สัปดาห์ที่ผ่านมา มีชาวเวียดนามตกเป็นเหยื่อของแอปพลิเคชันมือถือโดยได้ดำเนินการตามขั้นตอนการสแกนการจดจำใบหน้า ทำให้แฮกเกอร์สามารถถอนเงินได้มากกว่า 40,000 ดอลลาร์
นักวิจัยจึงคาดว่า GoldPickaxe ในเวียดนามจะเพิ่มมากขึ้นเร็วๆ นี้ เนื่องจากธนาคารของรัฐแห่งเวียดนาม (SBV) ได้สรุปแผนการกำหนดให้ใช้การยืนยันตัวตนด้วยใบหน้าเป็นมาตรการรักษาความปลอดภัยสำหรับการโอนเงินทั้งหมดตั้งแต่เดือนเม.ย.2567 เป็นต้นไป
ในสัปดาห์หน้าเราจะตามกันต่อในตอนที่ 2 กันนะครับ...