นักวิจัยของ ESET พบโทรจันบนแอนดรอยด์ที่ใช้เทคนิคการเข้าถึงผู้ใช้รูปแบบใหม่ มีเป้าหมายเป็นผู้ใช้งาน PayPal และสามารถเจาะทะลุระบบ Two-factor authentication ของ PayPal ได้
โดยแอปพลิเคชั่นนี้ปลอมตัวเป็นแอปฯช่วยบริหารจัดการแบตเตอรี่ Optimization Android และแฝงตัวอยู่ใน App Store (ไม่ใช่ Google Play)
หน้าจอมัลแวร์ปลอม วิธีการทำงาน
หลังจากติดตั้งและเปิดแอปพลิเคชั่นนี้ขึ้นมา แอปก็จะปิดตัวเองลงทันทีและซ่อนไอคอนแอปพลิเคชั่น หลังจากนี้ฟังก์ชั่นการทำงานของมันจะแบ่งออกเป็นสองส่วน
การเข้าถึงบริการ PayPal
ฟังก์ชั่นแรกของมันก็คือ ขโมยเงินจากบัญชี PayPal ของเหยื่อ โดยเปิดใช้งาน Accessibility Service ตามภาพด้านล่าง คำขอนี้จะไม่ดูเป็นอันตราย เพราะเพียงแค่ขอให้เปิดใช้เซอร์วิส “Enable Statistics” เท่านั้น
หน้าจอคำขอให้เปิดใช้งาน “Enable statistics” หากพบแอปพลิเคชั่น PayPal ติดตั้งอยู่ในอุปกรณ์ มัลแวร์จะแสดงหน้าจอให้เปิดแอปพลิเคชั่น PayPal ซึ่งหากผู้เปิด PayPal และล็อคอิน เซอร์วิสอันตรายที่ผู้ใช้เพิ่งกดอนุญาตไปก่อนหน้านี้จะเริ่มทำงาน และหลอกให้ผู้ใช้คลิกเพื่อส่งเงินไปยังบัญชี PayPal ของแฮกเกอร์
จากการวิเคราะห์ของเรา แอปพลิเคชั่นจะให้โอนเงินประมาณ 1,000 ยูโร หรือประมาณ 35,000 บาท ขึ้นอยู่ประเทศและค่าเงิน และกระบวนการดังกล่าวจะใช้เวลาประมาณ 5 วินาที หากผู้ใช้ไม่ทันระวังก็อาจจะเสียเงินโดยไม่รู้ตัว
เนื่องจากกระบวนของมัลแวร์ไม่ได้เป็นการขโมย ชื่อผู้ใช้และรหัสผ่าน แต่หลอกล่อให้ผู้ใช้เข้าแอปพลิเคชั่น PayPal ด้วยตัวเอง และไม่ต้องห่วงเรื่องของการยืนยันรหัส OTP (One-Time Password) เพราะเจ้าของบัญชีเป็นผู้ล็อคอินเอง
วิดีโอแสดงกระบวนการทำงาน:
VIDEO
ปัจจัยที่จะทำให้กระบวนการนี้ล้มเหลวก็คือ ถ้าผู้ใช้มีเงินไม่พอ และไม่ผูกบัตรเครดิต/เดบิตไว้กับบัญชี กระบวนการนี้จะเกิดขึ้นซ้ำๆจนผู้ใช้สังเกตเห็นความผิดปกติ
ทางเราได้แจ้งเตือน PayPal เกี่ยวกับกระบวนการที่ใช้โดยโทรจันนี้และบัญชีที่โดนโทรจันตัวนี้เล่นงานแล้ว
Overlay Attack โทรจันธุรกรรม
ฟังก์ชั่นที่สองของมัลแวร์นี้ก็คือหน้าต่างขโมยข้อมูล (Phishing) บนแอปพลิเคชั่นเป้าหมาย
โดยปกติมัลแวร์ตัวนี้จะดาวน์โหลดหน้าจอ Overlay HTML สำหรับ 5 แอปพลิเคชั่น — Google Play, WhatsApp, Skype, Viber และ Gmail แต่มีความเป็นไปได้ว่าจะอัพเดตในอนาคต
4 ใน 5 ของหน้าจอ Overlay Screen มีเป้าหมายเป็นข้อมูลบัตรเครดิต/เดบิต อีกอันหนึ่งจะขโมยข้อมูลชื่อผู้ใช้และรหัสผ่านของ Gmail และมีความเป็นไปได้ที่จะนำไปสู่ฟังก์ชั่น PayPal เพราะทุกการทำธุรกรรม PayPal จะส่งอีเมลแจ้งเตือนไปยัง Gmail และแฮกเกอร์อาจต้องการลบข้อความแจ้งเตือนดังกล่าว
หน้าจอ Overlay Screen ของ Google Play, WhatsApp, Viber และ Skype ขอรายละเอียดบัตรเครดิต/เดบิต หน้าจอ Overlay ขอโมยข้อมูลชื่อผู้ใช้และรหัสผ่าน Gmail เราพบหน้าจอ Overlay Screen ของแอปพลิเคชั่นธุรกรรมอื่นๆ
แต่อันนี้แตกต่างจากโทรจันธุรกรรมบนแอนดรอยด์ตัวอื่นๆ เพราะใช้ลูกเล่นเหมือนโปรแกรมเรียกค่าไถ่ (Ransomware) ล็อคหน้าจอ ไม่ให้ผู้ใช้สามารถกดปุ่ม Back หรือ Home ได้ แต่ผู้ใช้สามารถแก้สถานการณ์ด้วยการกรอกข้อมูลมั่วๆได้
วิธีการหลีกเลี่ยง
เบื้องต้นสำหรับใครก็ตามที่ติดตั้งแอปพลิเคชั่นที่กล่าวมา เราขอแนะนำให้ถอนการติดตั้งและตรวจสอบประวัติธุรกรรม รวมถึงเปลี่ยนรหัสผ่านธุรกรรมและ PIN Code รหัสผ่าน Gmail และถ้าใครใช้งาน PayPal ก็สามารถรายงานได้ที่ Resolution Center ของ PayPal
สำหรับอุปกรณ์ที่ถูกเล่นงานด้วยหน้าจอ Overlay เราแนะนำให้เปิดการทำงานอุปกรณ์ของคุณเป็น Safe Mode และถอรการติดตั้งแอปพลิเคชั่นที่ชื่อว่า “Optimization Android” ในหน้า Settings > (General) > Application manager/Apps
การป้องกัน
ดาวน์โหลดและใช้งานแอปพลิเคชั่นจาก Google Play ก่อนดาวน์โหลดให้ตรวจสอบจำนวนครั้งที่ดาวน์โหลด คะแนน และรีวิวก่อนทุกครั้ง อ่าน Permissions ทุกครั้งก่อนติดตั้ง อัพเดตแอปพลิเคชั่นและระบบปฏิบัติการให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ ติดตั้งโปรแกรมรักษาความปลอดภัย Indicators of Compromise (IoCs)
Android Trojan targeting PayPal users
Package Name
Hash
ESET detection name
jhgfjhgfj.tjgyjgjgjy
1C555B35914ECE5143960FD8935EA564
Android/Spy.Banker.AJZ
Android banking Trojan targeting Brazilian users
Package Name
Hash
ESET detection name
service.webview.kiszweb
FFACD0A770AA4FAA261C903F3D2993A2
Android/Spy.Banker.AKB
service.webview.webkisz
D6EF4E16701B218F54A2A999AF47D1B4
Android/Spy.Banker.AKB
com.web.webbrickd
5E278AAC7DAA8C7061EE6A9BCA0518FE
Android/Spy.Banker.AKB
com.web.webbrickz
2A07A8B5286C07271F346DC4965EA640
Android/Spy.Banker.AKB
service.webview.strongwebview
75F1117CABC55999E783A9FD370302F3
Android/Spy.Banker.AKB
Targeted applications (phishing overlays)
com.uber com.itaucard com.bradesco br.com.bb.android com.netflix gabba.Caixa com.itau Any app containing the string “twitter” Targeted applications (in-app navigation)
com.bradesco gabba.Caixa com.itau br.com.bb Any app containing the string “santander” Targeted antivirus apps and app managers
com.vtm.uninstall com.ddm.smartappunsintaller com.rhythm.hexise.uninst com.GoodTools.Uninstalle mobi.infolife.uninstaller om.utils.uninstalle com.jumobile.manager.systemapp com.vsrevogroup.revouninstallermobi oo.util.uninstall om.barto.uninstalle om.tohsoft.easyuninstalle vast.android.mobile om.android.cleane om.antiviru om.avira.andro om.kms.free Author: Lukas Stefanko https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/
Like this: ถูกใจ กำลังโหลด...
นักวิจัยของ ESET พบโทรจันบนแอนดรอยด์ที่ใช้เทคนิคการเข้าถึงผู้ใช้รูปแบบใหม่ มีเป้าหมายเป็นผู้ใช้งาน PayPal และสามารถเจาะทะลุระบบ Two-factor authentication ของ PayPal ได้
โดยแอปพลิเคชั่นนี้ปลอมตัวเป็นแอปฯช่วยบริหารจัดการแบตเตอรี่ Optimization Android และแฝงตัวอยู่ใน App Store (ไม่ใช่ Google Play)
วิธีการทำงาน
หลังจากติดตั้งและเปิดแอปพลิเคชั่นนี้ขึ้นมา แอปก็จะปิดตัวเองลงทันทีและซ่อนไอคอนแอปพลิเคชั่น หลังจากนี้ฟังก์ชั่นการทำงานของมันจะแบ่งออกเป็นสองส่วน
การเข้าถึงบริการ PayPal
ฟังก์ชั่นแรกของมันก็คือ ขโมยเงินจากบัญชี PayPal ของเหยื่อ โดยเปิดใช้งาน Accessibility Service ตามภาพด้านล่าง คำขอนี้จะไม่ดูเป็นอันตราย เพราะเพียงแค่ขอให้เปิดใช้เซอร์วิส “Enable Statistics” เท่านั้น
หากพบแอปพลิเคชั่น PayPal ติดตั้งอยู่ในอุปกรณ์ มัลแวร์จะแสดงหน้าจอให้เปิดแอปพลิเคชั่น PayPal ซึ่งหากผู้เปิด PayPal และล็อคอิน เซอร์วิสอันตรายที่ผู้ใช้เพิ่งกดอนุญาตไปก่อนหน้านี้จะเริ่มทำงาน และหลอกให้ผู้ใช้คลิกเพื่อส่งเงินไปยังบัญชี PayPal ของแฮกเกอร์
จากการวิเคราะห์ของเรา แอปพลิเคชั่นจะให้โอนเงินประมาณ 1,000 ยูโร หรือประมาณ 35,000 บาท ขึ้นอยู่ประเทศและค่าเงิน และกระบวนการดังกล่าวจะใช้เวลาประมาณ 5 วินาที หากผู้ใช้ไม่ทันระวังก็อาจจะเสียเงินโดยไม่รู้ตัว
เนื่องจากกระบวนของมัลแวร์ไม่ได้เป็นการขโมย ชื่อผู้ใช้และรหัสผ่าน แต่หลอกล่อให้ผู้ใช้เข้าแอปพลิเคชั่น PayPal ด้วยตัวเอง และไม่ต้องห่วงเรื่องของการยืนยันรหัส OTP (One-Time Password) เพราะเจ้าของบัญชีเป็นผู้ล็อคอินเอง
วิดีโอแสดงกระบวนการทำงาน:
ปัจจัยที่จะทำให้กระบวนการนี้ล้มเหลวก็คือ ถ้าผู้ใช้มีเงินไม่พอ และไม่ผูกบัตรเครดิต/เดบิตไว้กับบัญชี กระบวนการนี้จะเกิดขึ้นซ้ำๆจนผู้ใช้สังเกตเห็นความผิดปกติ
ทางเราได้แจ้งเตือน PayPal เกี่ยวกับกระบวนการที่ใช้โดยโทรจันนี้และบัญชีที่โดนโทรจันตัวนี้เล่นงานแล้ว
Overlay Attack โทรจันธุรกรรม
ฟังก์ชั่นที่สองของมัลแวร์นี้ก็คือหน้าต่างขโมยข้อมูล (Phishing) บนแอปพลิเคชั่นเป้าหมาย
โดยปกติมัลแวร์ตัวนี้จะดาวน์โหลดหน้าจอ Overlay HTML สำหรับ 5 แอปพลิเคชั่น — Google Play, WhatsApp, Skype, Viber และ Gmail แต่มีความเป็นไปได้ว่าจะอัพเดตในอนาคต
4 ใน 5 ของหน้าจอ Overlay Screen มีเป้าหมายเป็นข้อมูลบัตรเครดิต/เดบิต อีกอันหนึ่งจะขโมยข้อมูลชื่อผู้ใช้และรหัสผ่านของ Gmail และมีความเป็นไปได้ที่จะนำไปสู่ฟังก์ชั่น PayPal เพราะทุกการทำธุรกรรม PayPal จะส่งอีเมลแจ้งเตือนไปยัง Gmail และแฮกเกอร์อาจต้องการลบข้อความแจ้งเตือนดังกล่าว
เราพบหน้าจอ Overlay Screen ของแอปพลิเคชั่นธุรกรรมอื่นๆ
แต่อันนี้แตกต่างจากโทรจันธุรกรรมบนแอนดรอยด์ตัวอื่นๆ เพราะใช้ลูกเล่นเหมือนโปรแกรมเรียกค่าไถ่ (Ransomware) ล็อคหน้าจอ ไม่ให้ผู้ใช้สามารถกดปุ่ม Back หรือ Home ได้ แต่ผู้ใช้สามารถแก้สถานการณ์ด้วยการกรอกข้อมูลมั่วๆได้
วิธีการหลีกเลี่ยง
เบื้องต้นสำหรับใครก็ตามที่ติดตั้งแอปพลิเคชั่นที่กล่าวมา เราขอแนะนำให้ถอนการติดตั้งและตรวจสอบประวัติธุรกรรม รวมถึงเปลี่ยนรหัสผ่านธุรกรรมและ PIN Code รหัสผ่าน Gmail และถ้าใครใช้งาน PayPal ก็สามารถรายงานได้ที่ Resolution Center ของ PayPal
สำหรับอุปกรณ์ที่ถูกเล่นงานด้วยหน้าจอ Overlay เราแนะนำให้เปิดการทำงานอุปกรณ์ของคุณเป็น Safe Mode และถอรการติดตั้งแอปพลิเคชั่นที่ชื่อว่า “Optimization Android” ในหน้า Settings > (General) > Application manager/Apps
การป้องกัน
Indicators of Compromise (IoCs)
Android Trojan targeting PayPal users
Android banking Trojan targeting Brazilian users
Targeted applications (phishing overlays)
Targeted applications (in-app navigation)
Targeted antivirus apps and app managers
Author: Lukas Stefanko
Source: https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/
Translated by: Worapon H.
Share this:
Like this: