Android Banking Cybersecurity Malware

แอปฯธุรกรรมการเงินปลอมบน Google Play โจมตีผู้ใช้ทั่วโลก

แอปพลิเคชั่นธุรกรรมออนไลน์ปลอมแทรกซึมเข้า Play Store ของ Google เพื่อหลอกขโมยข้อมูลผู้ใช้

อาชญากรไซเบอร์ใช้แอปพลิเคชั่นธนาคารปลอม 6 ตัว และแอปฯแลกเปลี่ยนสกุลเงินออนไลน์

แอปพลิเคชั่นปลอมจำนวนหนึ่งเจาะผ่านระบบความปลอดภัย Google Play เข้าไปใน Google Play Store ครั้งนี้แฮกเกอร์ปลอมตัวเป็น 6 ธนาคารจาก New Zealand, Australia, UK, Switzerland และ Poland รวมกับอีกหนึ่งแอปฯแลกเปลี่ยนสกุลเงินออนไลน์ Bitpanda จากออสเตรีย มีจุดประสงค์เป็นการขโมยข้อมูลบัตรเครดิต/เดบิต และรหัสบัญชีผู้ใช้

แอปพลิเคชั่นเหล่านี้อัพโหลดในเดือนมิถุนายน 2018 และมีผู้ใช้ติดตั้งหลายพันครั้ง ก่อนที่ทาง Google จะถอนออกจาก Play Store โดยแอปพลิเคชั่นเหล่านี้ใช้ชื่อผู้พัฒนาแตกต่างกัน หน้าตาแตกต่างกัน แต่โค้ดไม่ต่างกัน

จุดประสงค์ของแอปพลิเคชั่นเหล่านี้ชัดเจน ก็คือขโมยข้อมูลสำคัญจากผู้ใช้ ด้วยแอปพลิเคชั่นที่เลียนแบบ เช่น Bitpanda และแอปฯธนาคารอื่นๆ

แอปฯปลอมเหล่านี้ทำงานอย่างไร?

แอปพลิเคชั่นเหล่านี้มีขั้นตอนเริ่มต้นที่ไม่เหมือนกับแอปฯตัวจริง ตั้งแต่เปิดแอปพลิเคชั่นตัวแอปฯจะขอข้อมูลบัตรเครดิต/เดบิตของธนาคารหรือบริการที่เกี่ยวข้องกับแอปฯนั้นๆ (ตามภาพด้านล่าง) หากผู้ใช้กรอกข้อมูลลงไปไม่ว่าถูกหรือผิด ข้อมูลเหล่านั้นจะส่งไปยังเซิร์ฟเวอร์ของแฮกเกอร์ เมื่อกรอกสำเร็จจะได้รับข้อความ “Congratulations” หรือ “Thank you”

วิธีการป้องกัน

ถ้าหากคุณเพิ่งติดตั้งแอปฯเหล่านี้หรือสังหรณ์ว่าติดตั้งแอปพลิเคชั่นอันตราย เราขอแนะนำให้ถอนการติดตั้งแอปพลิเคชั่นเหล่านั้นทันที รวมถึงเปลี่ยนรหัสผ่านและ PIN Code สำหรับการทำธุรกรรมของเรา และคอยตรวจสอบกิจกรรมทางการเงิน หากพบอะไรผิดปกติให้ติดต่อกับทางธนาคารหรือแอปพลิเคชั่นนั้นๆ

สำหรับผู้ใช้ Bitpanda ที่คิดว่าเผลอติดตั้งแอปพลิเคชั่นปลอมก็ต้องรีบเปลี่ยนรหัสผ่านและตรวจสอบประวัติการใช้งาน

วิธีหลีกเลี่ยงแอปพลิเคชั่นธุรกรรมปลอม

  • ดาวน์โหลดและติดตั้งแอปพลิเคชั่นจากเว็บไซต์ของเจ้าของบริการ หรือจากแหล่งที่น่าเชื่อถือ
  • เลือกดาวน์โหลดแอปพลิเคชั่นจาก Google Play ถึงแม้จะมีเหตุการณ์แอปพลิเคชั่นอันตรายหลุดเข้ามาให้เห็นบ้าง แต่อย่างน้อยก็เป็นพื้นที่ๆมีระบบคัดกรองและระบบรักษาความปลอดภัย
  • ให้ความสนใจกับตัวเลขยอดดาวน์โหลด คะแนนแอปฯ และรีวิว ก่อนดาวน์โหลดแอปพลิเคชั่น
  • กรอกข้อมูลสำคัญเมื่อมั่นใจว่าปลอดภัยและมาจากเจ้าของบริการตัวจริงเท่านั้น
  • อัพเดตซอฟต์แวร์และระบบปฏิบัติการและติดตั้งโปรแกรมรักษาความปลอดภัย ผลิตภัณฑ์ของ ESET สามารถตรวจจับและยับยั้งการทำงานของแอปพลิเคชั่นอันตรายเหล่านี้ได้ในชื่อต่างๆ เช่น Android/Spy.Banker.AIF, Android/Spy.Banker.AIE และ Android/Spy.Banker.AIP

รายชื่อธนาคารและบริการที่เป็นเป้าหมาย

Australia and New Zealand
Commonwealth Bank of Australia (CommBank)
The Australia and New Zealand Banking Group Limited (ANZ)
ASB Bank

The United Kingdom
TSB Bank

Switzerland
PostFinance

Poland
Bank Zachodni WBK (renamed to Santander Bank Polska SA in September 2018)

Austria
Bitpanda

Indicators of Compromise (IoCs)

Package nameHashDetection
cw.cwnbm.mobile651A3734103472297A2C65C81757FB5820AD2AB7Android/Spy.Banker.AIF
au.money.goDE09F03C401141BEB05F229515ABB64811DDB853Android/Spy.Banker.AIF
asb.ezy.payB6D70983C28B8A0059B454065D599B4E18E8097CAndroid/Spy.Banker.AIF
uk.mobile.tsb91692607FB529218ADF00F256D5D1862DF90DAAFAndroid/Spy.Banker.AIF
ch.post.financeFE1B2799B65D36F19484930FAF0DA17A0DBE9868Android/Spy.Banker.AIF
pl.mblzchC43E7A28E1B807225F1E188C6DA51D24DCC54F5FAndroid/Spy.Banker.AIE
http://www.bit.panda7D80158C8C893E46DC15E6D92ED2FECFDB12BF9FAndroid/Spy.Banker.AIP

Author: Lukas Stefanko
Source:
https://www.welivesecurity.com/2018/09/19/fake-finance-apps-google-play-target-around-world/
Translated by: Worapon H.

%d bloggers like this: