Android Banking Cybersecurity Malware

โทรจันบนแอปฯแอนดรอยด์ขโมยเงินจาก PayPal แม้ผู้ใช้เปิดใช้งาน Two-factor Authentication

มัลแวร์โทรจันธุรกรรมปลอมตัวเป็นแอปพลิเคชั่นแบตเตอรี่ เพื่อขโมยข้อมูลบัตรเครดิต/เดบิต และรหัสผ่าน Gmail

นักวิจัยของ ESET พบโทรจันบนแอนดรอยด์ที่ใช้เทคนิคการเข้าถึงผู้ใช้รูปแบบใหม่ มีเป้าหมายเป็นผู้ใช้งาน PayPal และสามารถเจาะทะลุระบบ Two-factor authentication ของ PayPal ได้

โดยแอปพลิเคชั่นนี้ปลอมตัวเป็นแอปฯช่วยบริหารจัดการแบตเตอรี่ Optimization Android และแฝงตัวอยู่ใน App Store (ไม่ใช่ Google Play)

หน้าจอมัลแวร์ปลอม

วิธีการทำงาน

หลังจากติดตั้งและเปิดแอปพลิเคชั่นนี้ขึ้นมา แอปก็จะปิดตัวเองลงทันทีและซ่อนไอคอนแอปพลิเคชั่น หลังจากนี้ฟังก์ชั่นการทำงานของมันจะแบ่งออกเป็นสองส่วน

การเข้าถึงบริการ PayPal

ฟังก์ชั่นแรกของมันก็คือ ขโมยเงินจากบัญชี PayPal ของเหยื่อ โดยเปิดใช้งาน Accessibility Service ตามภาพด้านล่าง คำขอนี้จะไม่ดูเป็นอันตราย เพราะเพียงแค่ขอให้เปิดใช้เซอร์วิส “Enable Statistics” เท่านั้น

หน้าจอคำขอให้เปิดใช้งาน “Enable statistics”

หากพบแอปพลิเคชั่น PayPal ติดตั้งอยู่ในอุปกรณ์ มัลแวร์จะแสดงหน้าจอให้เปิดแอปพลิเคชั่น PayPal ซึ่งหากผู้เปิด PayPal และล็อคอิน เซอร์วิสอันตรายที่ผู้ใช้เพิ่งกดอนุญาตไปก่อนหน้านี้จะเริ่มทำงาน และหลอกให้ผู้ใช้คลิกเพื่อส่งเงินไปยังบัญชี PayPal ของแฮกเกอร์

จากการวิเคราะห์ของเรา แอปพลิเคชั่นจะให้โอนเงินประมาณ 1,000 ยูโร หรือประมาณ 35,000 บาท ขึ้นอยู่ประเทศและค่าเงิน และกระบวนการดังกล่าวจะใช้เวลาประมาณ 5 วินาที หากผู้ใช้ไม่ทันระวังก็อาจจะเสียเงินโดยไม่รู้ตัว

เนื่องจากกระบวนของมัลแวร์ไม่ได้เป็นการขโมย ชื่อผู้ใช้และรหัสผ่าน แต่หลอกล่อให้ผู้ใช้เข้าแอปพลิเคชั่น PayPal ด้วยตัวเอง และไม่ต้องห่วงเรื่องของการยืนยันรหัส OTP (One-Time Password) เพราะเจ้าของบัญชีเป็นผู้ล็อคอินเอง

วิดีโอแสดงกระบวนการทำงาน:

ปัจจัยที่จะทำให้กระบวนการนี้ล้มเหลวก็คือ ถ้าผู้ใช้มีเงินไม่พอ และไม่ผูกบัตรเครดิต/เดบิตไว้กับบัญชี กระบวนการนี้จะเกิดขึ้นซ้ำๆจนผู้ใช้สังเกตเห็นความผิดปกติ

ทางเราได้แจ้งเตือน PayPal เกี่ยวกับกระบวนการที่ใช้โดยโทรจันนี้และบัญชีที่โดนโทรจันตัวนี้เล่นงานแล้ว

Overlay Attack โทรจันธุรกรรม

ฟังก์ชั่นที่สองของมัลแวร์นี้ก็คือหน้าต่างขโมยข้อมูล (Phishing) บนแอปพลิเคชั่นเป้าหมาย

โดยปกติมัลแวร์ตัวนี้จะดาวน์โหลดหน้าจอ Overlay HTML สำหรับ 5 แอปพลิเคชั่น — Google Play, WhatsApp, Skype, Viber และ Gmail แต่มีความเป็นไปได้ว่าจะอัพเดตในอนาคต

4 ใน 5 ของหน้าจอ Overlay Screen มีเป้าหมายเป็นข้อมูลบัตรเครดิต/เดบิต อีกอันหนึ่งจะขโมยข้อมูลชื่อผู้ใช้และรหัสผ่านของ Gmail และมีความเป็นไปได้ที่จะนำไปสู่ฟังก์ชั่น PayPal เพราะทุกการทำธุรกรรม PayPal จะส่งอีเมลแจ้งเตือนไปยัง Gmail และแฮกเกอร์อาจต้องการลบข้อความแจ้งเตือนดังกล่าว

หน้าจอ Overlay Screen ของ Google Play, WhatsApp, Viber และ Skype ขอรายละเอียดบัตรเครดิต/เดบิต
หน้าจอ Overlay ขอโมยข้อมูลชื่อผู้ใช้และรหัสผ่าน Gmail

เราพบหน้าจอ Overlay Screen ของแอปพลิเคชั่นธุรกรรมอื่นๆ

แต่อันนี้แตกต่างจากโทรจันธุรกรรมบนแอนดรอยด์ตัวอื่นๆ เพราะใช้ลูกเล่นเหมือนโปรแกรมเรียกค่าไถ่ (Ransomware) ล็อคหน้าจอ ไม่ให้ผู้ใช้สามารถกดปุ่ม Back หรือ Home ได้ แต่ผู้ใช้สามารถแก้สถานการณ์ด้วยการกรอกข้อมูลมั่วๆได้

วิธีการหลีกเลี่ยง

เบื้องต้นสำหรับใครก็ตามที่ติดตั้งแอปพลิเคชั่นที่กล่าวมา เราขอแนะนำให้ถอนการติดตั้งและตรวจสอบประวัติธุรกรรม รวมถึงเปลี่ยนรหัสผ่านธุรกรรมและ PIN Code รหัสผ่าน Gmail และถ้าใครใช้งาน PayPal ก็สามารถรายงานได้ที่ Resolution Center ของ PayPal

สำหรับอุปกรณ์ที่ถูกเล่นงานด้วยหน้าจอ Overlay เราแนะนำให้เปิดการทำงานอุปกรณ์ของคุณเป็น Safe Mode และถอรการติดตั้งแอปพลิเคชั่นที่ชื่อว่า “Optimization Android” ในหน้า Settings > (General) > Application manager/Apps

การป้องกัน

  • ดาวน์โหลดและใช้งานแอปพลิเคชั่นจาก Google Play
  • ก่อนดาวน์โหลดให้ตรวจสอบจำนวนครั้งที่ดาวน์โหลด คะแนน และรีวิวก่อนทุกครั้ง
  • อ่าน Permissions ทุกครั้งก่อนติดตั้ง
  • อัพเดตแอปพลิเคชั่นและระบบปฏิบัติการให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ
  • ติดตั้งโปรแกรมรักษาความปลอดภัย

Indicators of Compromise (IoCs)

Android Trojan targeting PayPal users

Package Name Hash ESET detection name
jhgfjhgfj.tjgyjgjgjy 1C555B35914ECE5143960FD8935EA564 Android/Spy.Banker.AJZ

Android banking Trojan targeting Brazilian users

Package Name Hash ESET detection name
service.webview.kiszweb FFACD0A770AA4FAA261C903F3D2993A2 Android/Spy.Banker.AKB
service.webview.webkisz D6EF4E16701B218F54A2A999AF47D1B4 Android/Spy.Banker.AKB
com.web.webbrickd 5E278AAC7DAA8C7061EE6A9BCA0518FE Android/Spy.Banker.AKB
com.web.webbrickz 2A07A8B5286C07271F346DC4965EA640 Android/Spy.Banker.AKB
service.webview.strongwebview 75F1117CABC55999E783A9FD370302F3 Android/Spy.Banker.AKB

Targeted applications (phishing overlays)

  • com.uber
  • com.itaucard
  • com.bradesco
  • br.com.bb.android
  • com.netflix
  • gabba.Caixa
  • com.itau
  • Any app containing the string “twitter”

Targeted applications (in-app navigation)

  • com.bradesco
  • gabba.Caixa
  • com.itau
  • br.com.bb
  • Any app containing the string “santander”

Targeted antivirus apps and app managers

  • com.vtm.uninstall
  • com.ddm.smartappunsintaller
  • com.rhythm.hexise.uninst
  • com.GoodTools.Uninstalle
  • mobi.infolife.uninstaller
  • om.utils.uninstalle
  • com.jumobile.manager.systemapp
  • com.vsrevogroup.revouninstallermobi
  • oo.util.uninstall
  • om.barto.uninstalle
  • om.tohsoft.easyuninstalle
  • vast.android.mobile
  • om.android.cleane
  • om.antiviru
  • om.avira.andro
  • om.kms.free

Author: Lukas Stefanko
Source:
https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/
Translated by: Worapon H.

%d bloggers like this: