ทาง droidsans ได้เอาไฟล์ติดตั้ง หรือ APK ของแอปที่มีปัญหาอย่าง Fineasy และแอปเงินกู้ สินเชื่อความสุข มาให้ทางนักพัฒนาลองแกะรายละเอียด และดูข้อมูลภายใน ว่าตัวแอปสามารถทำอะไรได้บ้าง และมีข้อมูลส่วนไหนที่ดูน่าสนใจ ก็พบว่า Fineasy นั้นสามารถติดตั้งแอปใหม่ลงในเครื่องได้ ส่วน สินเชื่อความสุข ดูเหมือนจะถูกพัฒนาขึ้นมาเพื่อใช้แค่ในประเทศไทยเท่านั้น

Fineasy รายละเอียดภายในแอป

  • com.fintech.life
  • เวอร์ชัน 2.10.73​ (210075)
  • ข้อมูลผู้ออกลายเซ็นต์ (APK Signature): fintech@fintech.com (fintech, Singapore, SG)

แอปตัวนี้มาพร้อมกับ ROM ของ OPPO และ realme ในหลายๆ รุ่น โดยถูกกำหนดสิทธิ์ให้เป็น System App ที่สามารถเข้าถึงสิทธิ์ในเครื่องได้มากกว่าแอปทั่วๆ ไป ที่เราโหลดมาจาก Google Play หรือ Android app store อื่นๆ เช่น

  • สามารถติดตั้งแอปลงในเครื่องในรูปแบบที่เรียกว่า Silent Install หรือแบบที่เราไม่ต้องกดยืนยันแอปได้ (ถ้าจะทำ) เหมือนกับเวลาเราใช้งาน Google Play กดติดตั้งแอป
  • แก้ไขการตั้งค่าบางอย่างภายในเครื่อง จากเดิมที่ต้องให้ผู้ใช้เป็นคนเข้าไปตั้งค่าด้วยตัวเองเท่านั้น

มีการขอสิทธิ์ที่เราต้องอนุญาต Permission ผู้ใช้งานตามนี้

  • Permission List
    • Access Location
    • Access Camera
    • Read Images and Videos
    • Read & Write Data to External Storage
    • Read & Write Calendar
    • Display System Alert Window and Overlay Window
    • Enable Wake Lock เพื่อให้เครื่อง Active ตลอดเวลา
    • Use NFC
    • Use Biometric Authentication
    • Use Foreground Service (การทำงานเบื้องหลังที่แสดงการทำงานให้เห็นผ่าน Nofitication)

และยังขอดูระบบ Android เพื่อเช็ครายชื่อแอปเหล่านี้ในเครื่อง

  • Scan Application list
    • ovo.id
    • com.gojek.app
    • id.dana
    • com.lazada.android
    • com.shopee.ph
    • com.shopee.sg
    • com.shopee.th
    • com.shopee.my
    • com.tokopedia.tkpd
    • com.bukalapak.android
    • blibli.mobile.commerce
    • com.orami.parenting.android
    • bmd.android.apps
    • jd.cdyjy.overseas.market.indonesia
    • com.zalora.android
    • com.lakupon
    • com.kfit.fave
    • com.eatigo
    • com.zzkko
    • com.shopback.app
    • com.amazon.mShop.android.shopping
    • com.nike.plusgps
    • com.uniqlo.hk.catalogue
    • com.metrodeal.metrodealandroid
    • com.ebay.mobile
    • com.taobao.taobao
    • coapp.collectoffers.com
    • com.heytap.market
    • com.oppo.market
    • com.android.vending
    • com.google.market
    • com.grabtaxi.passenger
    • com.ss.android.ugc.trill
    • com.shopee.vn
    • com.shopee.id
    • com.einnovation.temu
    • e.books.reading.apps
    • com.facebook.katana
    • com.instagram.android
    • com.gojek.gopay
    • com.yandex.searchapp
    • com.oneplus.account
    • com.heytap.usercenter
    • com.heytap.vip
    • com.oppo.usercenter
    • com.oplus.vip
    • com.oplus.account
    • com.oppo.service.account
    • com.heytap.openid
    • com.oplus.stdid
    • com.oplus.member
    • com.oneplus.member
    • com.heytap.member
    • com.nearme.atlas
    • com.finshell.atlas
    • com.oplus.pay
    • com.google.android.apps.tv.launcherx
    • com.google.android.tvlauncher
    • com.google.android.tvrecommendations
    • com.oplus.aiunit
    • com.coloros.ocrservice
    • com.oplus.services
    • com.oplus.travelengine
    • com.oplus.ocar
    • com.coloros.ocs.opencapabilityservice
    • com.oplus.ocs

ภายในแอปมีโค้ดที่เกี่ยวกับ com.finshell จำนวนเยอะมาก รวมไปถึงตัวแปรสำหรับชื่อแอปที่ตั้งชื่อว่า “finshell_app_name” จึงคาดว่าน่าจะมีความเกี่ยวข้องกับแอป https://play.google.com/store/apps/details?id=com.finshell.fin

  • มี API Endpoint เป็น https://fineasy.topkredittk.com (ล่าสุดคือปิดไปแล้ว)
  • มีโค้ดที่ชื่อว่า AdActivity ที่น่าจะเอาไว้แสดงโฆษณาด้วยการเปิดหน้าเว็ปภายในแอป (WebView)
    • แต่มีจุดสังเกตว่ามีการใช้ Javascript Interface เพื่อให้เว็ปสั่งงานบางอย่างภายในแอปได้ด้วย
    • คำสั่ง Javascript Interface ที่สำคัญ (มีหลายคำสั่ง แต่เลือกเฉพาะคำสั่งที่น่าสงสัย)
      • ดึงรายชื่อแอปทั้งหมดที่ติดตั้งอยู่ในเครื่อง
      • ติดตั้งแอปผ่านไฟล์ APK ที่ดาวน์โหลดตาม URL ที่หน้าเว็ปส่งมาให้ (ไม่สามารถยืนยันได้ว่าการติดตั้งแอปผ่านไฟล์ APK จากช่องทางนี้อยู่ในรูปแบบของ Silent App Installation หรือไม่)

สินเชื่อความสุข รายละเอียดภายในแอป

  • com.cosyzone.finance
  • เวอร์ชัน 2.0.27 (38)
  • ข้อมูลผู้ออกลายเซ็นต์ (APK Signature): fintech@fintech.com (fintech, Bangkok, TH)

แอปสินเชื่อความสุขนั้นเพิ่งจะถูกเพิ่มเข้ามากับ ROM ของ OPPO และ realme ในการอัปเดทช่วงหลังๆ ประมาณการคร่าวๆ ว่าเป็นช่วง Q3 หรือ Q4 ของปี 2024 โดยมีการขออนุญาตสิทธ์ในการเข้าถึงจากผู้ใช้งาน ตามนี้

  • Permission List (รายการสำคัญๆ ที่ต้องขอจากผู้ใช้)
    • Access Location
    • Access Camera
    • Read Contact
    • Read & Write Calendar
    • Query All Installed App (สิทธิ์นี้ทาง Google Play ไม่ให้แอปทั่วไปใช้)
    • Read Mobile Number
    • Access App Usage
  • มีการขอระบบแอนดรอยด์เพื่อเช็คแอปเหล่านี้ภายในเครื่อง
    • com.heytap.market
    • com.oppo.market
    • com.facebook.katana
    • com.instagram.android

หากเราไม่ยอมให้สิทธิ์ permission ทุกตัว ก็จะไม่สามารถทำงานหรือใช้แอปต่อได้ มีการใช้ระบบยืนยันตัวตนในรอบแรกแบบ OTP ผ่านเบอร์มือถือ และมีการทำ KYC เพื่อยืนยันใบหน้าด้วย

จากที่ดูโค้ดภายในแอป พบว่าเหมือนจะถูกเขียนขึ้นมาเพื่อใช้งานในประเทศไทยโดยเฉพาะ เพราะมีแค่ภาษาไทยทั้งหมด ไม่มีการแปลไปเป็นภาษาอื่นเลย

ข้อมูลที่ถูกส่งต่อขึ้น Web Service มีการเข้ารหัส AES และ RSA โดยมี API Endpoint หรือปลายทางคือ https://api.hizonetech.com/cosyzone

  • หน้าเว็ปหลักภายในแอป “https://www.hizonetech.com/p/m/#/”
  • หลังจากการยืนยันเบอร์มือถือด้วย OTP ขั้นตอนทั้งหมดจะเป็นการเปิดเว็ปภายในแอป (WebView)
  • หน้าเว็ป Customer Service (จะถูกเปิดผ่านแอป) คือ https://www.hizonetech.com/p/m/#/mine/customer-service-now
  • ในโค้ดมีคอมเม้นบางส่วนที่เป็นภาษาจีนด้วย
  • มีโค้ดที่เรียกว่า Operator ที่จะดึงข้อมูลจากในเครื่องส่งขึ้น Web Service ซึ่งมีทั้งข้อมูลที่อัปโหลดทันทีที่เปิดแอป หรือรอคำสั่งผ่าน Javascript Interface จากหน้าเว็ปที่เปิดภายในแอป
    • แปลว่าในระหว่างที่เปิดหน้าเว็ปภายในแอปเพื่อใช้งาน หน้าเว็ปสามารถสั่งให้ส่งข้อมูลภายในเครื่องขึ้น Web Service ได้ตลอดเวลา
  • หน้าเว็ปสามารถสั่งงานแอปผ่าน Javascript Interface ได้ดังนี้
    • เก็บข้อมูลเครื่อง
      • CPU
      • ความละเอียดหน้าจอ
      • Memory
      • WiFi
      • Bluetooth
      • Camera
      • รายชื่อแอปทั้งหมดที่ติดตั้งอยู่ภายในเครื่อง
      • ฯลฯ
    • เก็บรูปภาพภายในเครื่อง (ในเวอร์ชันที่ตรวจสอบ มีการลบโค้ดออกไปแล้ว)
    • เก็บตำแหน่งของเครื่อง (Latitude, Longitude, และ Altitude)
    • เก็บประวัติการโทรเข้าหรือโทรออก
    • เก็บรายชื่อเบอร์โทรติดต่อ
    • เก็บข้อความ SMS (ในเวอร์ชันที่ตรวจสอบ มีการลบโค้ดออกไปแล้ว)
    • เก็บเบอร์โทรของเครื่อง
    • บันทึกภาพหน้าจอในระหว่างการใช้งานแอป (ไม่ได้บันทึกภาพหน้าจอนอกแอป)
    • บันทึกไฟล์ภาพ QR Code ลงในเครื่อง
    • เก็บข้อมูลใน Calendar
    • เปิดหน้าเว็ปใด ๆ ผ่าน Web Browser ที่มีอยู่ในเครื่อง
    • เปิดกล้องเพื่อขอถ่ายรูป
    • แสดงหน้าต่างรีวิวแอปบน Google Play
  • โค้ดภายในแอปมีการเรียกใช้งานคำสั่งที่ชื่อว่า com.finshell.sdk.FinSdk จึงน่าจะมีความเกี่ยวข้องบางอย่างกับแอป https://play.google.com/store/apps/details?id=com.finshell.fin ก็เป็นได้