Home > Medias & Articles > SharkBot ไวรัสโทรจันรูปแบบใหม่ เข้าถึงข้อมูลทางการเงินได้ผ่านระบบ ‘Auto fill’
Back
November 19, 2021

SharkBot ไวรัสโทรจันรูปแบบใหม่ เข้าถึงข้อมูลทางการเงินได้ผ่านระบบ ‘Auto fill’

Wannakorn Bangpisuttikul

เมื่อวันจันทร์ที่ 15 พฤศจิกายนที่ผ่านมา นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ออกมาเปิดเผยว่าภายในประเทศอิตาลี สหราชอาณาจักร และสหรัฐอเมริกาพบการระบาดของไวรัสโทรจันในระบบปฏิบัติการ Android โดยไวรัสดังกล่าวนี้เป็นไวรัสรูปแบบใหม่ที่มีชื่อว่า ‘Sharkbot’ โดยเจ้า Sharkbot อาศัยฟีเจอร์ที่เปิดให้เข้าถึงข้อมูลในอุปกรณ์สมาร์ตโฟน เข้าแฮกบัญชีธนาคารและบัญชีสกุลเงินดิจิทัลของเป้าหมายจาก 27 แหล่ง โดยแบ่งเป็นบัญชีธนาคารระหว่างประเทศ 22 ธนาคารและแอปพลิเคชันให้บริการด้านสกุลเงินดิจิทัล 5 แอปพลิเคชัน

SharkBot มาในรูปแบบของหน้าต่าง Pop-up หรือข้อความ SMS ที่ขออนุญาตเข้าถึงข้อมูลภายในอุปกรณ์ของคุณ ซึ่งถ้าหากคุณหลงเชื่อทำการกรอกข้อมูล เจ้า Malware ตัวร้ายนี้ก็จะทำการติดตั้งตัวเองลงบนอุปกรณ์ หลังจากนั้นแฮกเกอร์จะใช้ประโยชน์จากการตั้งค่าการเข้าถึงข้อมูลสำคัญหรือข้อมูลส่วนตัวในรูปแบบ Auto fill ของคุณ ซึ่งเป็นการตั้งค่าที่เมื่อคุณกรอกข้อมูลบนเว็บไซต์หรือแอปพลิเคชันใหม่ ๆ ระบบจะทำการจดจำข้อข้อมูล อาทิ หมายเลขบัตรเครดิต หรือรหัสผ่านที่คุณเคยกรอกในเว็บไซต์อื่น ๆ มากรอกอีกครั้งในเว็บไซต์ใหม่นี้โดยอัตโนมัติ หากเจ้าตัว SharkBot ตรวจพบการตั้งค่าในส่วนนี้ มันก็จะสามารถเข้าถึงข้อมูลของคุณได้ในทันที

นี่เท่ากับว่าแฮกเกอร์ได้ข้อมูลของคุณและยังสามารถเลี่ยงระบบยืนยันตัวตนแบบ Multi-factor Authentication หรือการยืนยันตัวตนสองขั้นตอนในแอปพลิเคชันของธนาคารได้อย่างสบาย ๆ และสามารถโอนเงินออกไปได้สำเร็จตามเป้าหมาย

นอกจากนี้ Sharkbot ยังมีรูปแบบการโจมตีอื่น ๆ ที่หลากหลาย ไม่ว่าจะเป็นการ Overlay Attack ซึ่งเป็นการโจมตีโดยการสร้างหน้าต่างปลอมมาซ้อนทับบนหน้าต่างแอปพลิเคชันจริง เพื่อหลอกให้เหยื่อกรอกข้อมูล หรืออาจถึงขั้นที่สามารถควบคุมอุปกรณ์ของเหยื่อจากทางไกลได้

และสิ่งที่น่ากลัวคือ SharkBot เป็นไวรัสที่สามารถหลบเลี่ยงการตรวจจับได้เก่งมาก โดยขั้นตอนการทำงานของไวรัสตัวนี้จะเริ่มต้นโดยการสร้างแอปพลิเคชันแบบจำลองหรือที่เรียกว่า Emulator ที่เป็นตัวจำลองของแอปพลิเคชันจริง จากนั้นต่อด้วยการเข้ารหัสระบบการสื่อสารและสั่งการแบบทางไกล ซึ่งหลังจากที่เหยื่อหลงกลติดตั้งแอปพลิเคชันปลอม แฮกเกอร์ก็จะทำการซ่อนตัวแอปพลิเคชันจริงจากหน้าจอของเหยื่อ ทำให้เหยื่อใช้งานแอปพลิเคชันปลอมโดยไม่รู้ตัว

ที่ผ่านมาไม่เคยมีการตรวจพบแอปพลิเคชันที่เป็น SharkBot บน Google Play เลย จึงสันนิษฐานกันว่าแฮกเกอร์ได้ทำการติดตั้งตัวแอปพลิเคชันปลอมลงในอุปกรณ์ของเหยื่อผ่านการหลอกให้เหยื่อกรอกข้อมูลตามหน้าต่าง Pop-up ที่สร้างขึ้น หรือหลอกให้โหลดแอปพลิเคชันแบบ Sideloading ซึ่งไม่ใช่การดาวน์โหลดโดยตรงจากแหล่งที่น่าเชื่อถือ จากนั้นจึงนำเข้าสู่กระบวนการโจรกรรมข้อมูลตามที่กล่าวไปข้างต้น

จากตัวอย่างของ SharkBot นี้ทำให้เราได้เห็นถึงความพยายามในการสร้าง Malware สำหรับหาช่องทางการโจมตีใหม่ ๆ ซึ่งบางครั้งก็อาจคาดเดารูปแบบไม่ได้เลยทีเดียว ดังนั้น การใช้งานแอปพลิเคชันและอินเทอร์เน็ตอย่างมีสติ ไม่กรอกข้อมูลส่วนตัวโดยง่าย และเลี่ยงการใช้ระบบ Auto fill อาจจะเป็นวิธีการป้องกันที่ดีที่สุดใน ณ ขณะนี้

ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์
ติดต่อเรา Cloudsec Asia
ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิก
Tel.+66 2117 9668
www.cloudsecasia.com


#cybersecurity
#cybersecurityisamust
#cloudsecasia

References:
Lakshmanan, R, 2021. SharkBot — A New Android Trojan Stealing Banking and Cryptocurrency Accounts. [online] The Hacker News. Available at <https://thehackernews.com/…/sharkbot-new-android-trojan…> [Accessed 18 November 2021]