แอปพลิเคชั่นสกุลเงินออนไลน์ปลอมแทรกซึมเข้า Google Play

นักวิจัยของ ESET วิเคราะห์แอปพลิเคชั่นกระเป๋าเงิน (Wallet) สำหรับสกุลเงินออนไลน์เข้า Google Play

ราคาของสกุลเงินออนไลน์ของ Bitcoin นั้นผันผวนขึ้นลง ซึ่งดึงดูดนักลงทุนและคนเข้ามา รวมถึงอาชญากรไซเบอร์หรือแฮกเกอร์ด้วย

ผู้ใช้งานเว็บไซต์ Reddit พบแอปพลิเคชั่น “Trezor Mobile Wallet” ใน Google Play ที่พรางตัวเป็นแอปพลิเคชั่น Wallet ชื่อว่า Trezor ซึ่งกำลังเป็นที่นิยม และสิ่งที่ทำให้แอปพลิเคชั่นนี้ดูน่าเชื่อถือเพราะยังไม่เคยมีแอปพลิเคชั่นของ Trezor เข้ามาใน Google Play

การวิเคราะห์แอปพลิเคชั่นดังกล่าวพบว่า:

1. แอปพลิเคชั่นไม่เป็นอันตรายต่อผู้ใช้ Trezor เพราะทาง Trezor มีการป้องกันหลายชั้น
2. แอปพลิเคชั่นเชื่อมต่อกับ Wallet ปลอมชื่อว่า “Coin Wallet – Bitcoin, Ripple, Ethereum, Tether” ที่สามารถหลอกเงินผู้ใช้ได้
3. แอปพลิเคชั่นสร้างขึ้นมาจากแอปพลิเคชั่นตัวอย่างที่ขายอยู่บนโลกออนไลน์

ทางเราดำเนินการรายงานไปยังทีม Security ของ Google เพื่อให้นำแอปพลิเคชั่นออก และทาง Trezor ก็มีการแถลงการณ์แจ้งเตือนผู้ใช้ สิ่งที่น่าเป็นห่วงคืออีเมลที่ถูกเก็บไป ซึ่งอาจนำไปสู่การส่งอีเมลปลอมในอนาคตได้

แอปพลิเคชั่นปลอม: Trezor Mobile Wallet

แอปพลิเคชั่น Trezor Mobile Wallet เข้ามาใน Google Play ในชื่อของนักพัฒนาว่า Trezor Inc. ซึ่งมีภาพลักษณ์น่าเชื่อถือ ทั้งชื่อแอปพลิเคชั่น ชื่อผู้พัฒนา ประเภท คำอธิบาย และรูปภาพดูเหมือนของจริง

เมื่อเราดาวน์โหลดแอปพลิเคชั่นลงมาตัว Logo ของแอปพลิเคชั่นได้เปลี่ยนไปจากที่เราเห็นใน Google Play โดย Logo ได้เปลี่ยนเป็น “Coin Wallet”

หากเราเปิดแอปพลิเคชั่นขึ้นมาจะมีหน้าจอให้ล็อคอิน แต่ภาพหน้าจอนั้นไม่ปกติเป็นอย่างมาก เพราะไม่มีโลโก้หรือหน้าตาที่เหมือนกับหน้าล็อคอินของ Trezor

เมื่อเราตรวจสอบปลายทางพบว่าแอปพลิเคชั่น Trezor Mobile Wallet อยู่บนโดเมนของ coinwallet[.]com ซึ่งเป็นของแอปพลิเคชั่นหลอกลวง “Coin Wallet” บนเว็บไซต์และ “Coin Wallet – Bitcoin, Ripple, Ethereum, Tether” บน Google Play

จุดประสงค์ของแฮกเกอร์ก็คือหลอกให้ผู้ใช้โอนเงินสกุลออนไลน์เข้ามาที่ Wallet ที่พวกเขาเตรียมเอาไว้ ซึ่งพวกเขาจะเปลี่ยนที่อยู่ของ Wallet ที่ผู้ใช้ต้องการเป็น Wallet ของพวกเขา และมีทั้งหมด 13 Wallet สำหรับ 13 สกุลเงินออนไลน์

วิธีการป้องกัน

• ใช้งานแอปพลิเคชั่นเกี่ยวกับสกุลเงินออนไลน์จากเว็บไซต์โดยตรง
• กรอกข้อมูลสำคัญต่อเมื่อมั่นใจว่าเว็บไซต์นั้นเป็นของจริงและปลอดภัย
• อัพเดตแอปพลิเคชั่นและระบบปฏิบัติการ
• ใช้โปรแกรมรักษาความปลอดภัย

Indicators of Compromise (IoCs)

Package Name	Hash	Detection
com.trezorwalletinc.cryptocurrency	0021A89588C8CEB885A40FBCCA6DD76D	Trojan.Android/FakeApp.KO
com.walletinc.cryptocurrency	EE9E4AD693A0F0C9971145FB0FB0B85C	Trojan.Android/FakeApp.KO

Cryptocurrency	Wallet
BTC	17jAe7hTZgNixT4MPZVGZD7fGKQpD9mppi
DOGE	DGf6dT2rd9evb4d6X9mzjd9uaFoyywjfrm
ETH	0x69919d83F74adf1E6ACc3cCC66350bEA4b01E92C
LTC	Lg64xV4Mw41bV3pTKc5ooBJ4QZ81gHUuJ6
BCH	qq9cjckr3r9wl5x4f3xcfshpcj72jcqk9uu2qa7ja2
DASH	Xu6mkZNFxSGYFcDUEVWtUEcoMnfoGryAjS
ZEC	t1JKPTwHJcj6e5BDqLp5KayaXLWdMs6pKZo
XRP	raPXPSnw61Cbn2NWky39CrCL1AZC2dg6Am
USDT	0x69919d83F74adf1E6ACc3cCC66350bEA4b01E92C
XLM	GDZ2AT7TU6N3LTMHUIX6J2DZHUDBU74X65ASOWEZUQGP7JMQ237KDBUX
TRX	TAm4fPA6yTQvaAjKs2zFqztfDPmnNzJqi2
ADA	DdzFFzCqrhswWLJMdNPJK8EL2d5JdN8cSU1hbgStPhxDqLspXGRRgWkyknbw45KDvT2EJJhoPXuj2Vdsj6V6WWM5JABoZ4UhR7vnRopn
NEO	AJqeUDNrn1EfrPxUriKuRrYyhobhk78zvK