fbpx
News

นักวิจัยเตือนมัลแวร์ Vultur ใช้เทคนิคใหม่ขโมยข้อมูลธุรกรรม ด้วยการแอบบันทึกวิดีโอหน้าจอตอนใส่รหัส

บอกเลยว่าพวกแฮกเกอร์นี่ไม่หยุดนิ่งในการพยายามหาทางสร้างมัลแวร์หลากหลายแบบมาโจมตีผู้ใช้งานสมาร์ทโฟนได้แบบไม่ซ้ำซากจำเจจริง ๆ โดยล่าสุดมีนักวิจัยจากบริษัทรักษาความปลอดภัยไซเบอร์ออกมารายงานว่าพบกับมัลแวร์พันธุ์ใหม่ที่มีชื่อว่า Vultur แอบซ่อนอยู่ในแอปบน Google Play Store หากมีคนหลงกลติดตั้งไปแล้วก็มีความเสี่ยงสูงมากที่จะโดนขโมยข้อมูลในการ Log in เข้าระบบธุรกรรมต่าง ๆ ด้วยการบันทึกหน้าจอตอนที่ผู้ใช้กำลังกรอก Password

ทีมนักวิจัยจากบริษัท ThreatFabric ไปพบเข้ากับมัลแวร์ Vultur ที่สามารถเข้ามาขโมยรหัสผ่านแอปธุรกรรมบนอุปกรณ์ Android ได้ ด้วยวิธีการที่สุดแสนแนบเนียน โดยมัลแวร์สำหรับขโมย Password ทั่วไปมักจะใช้โค้ดพิเศษที่จะตรวจจับเวลาอุปกรณ์มีการเข้าแอปธุรกรรม จากนั้นมันจะก๊อปปี้ภาพของแอปนั้นมาแปะไว้บนหน้า Log in เพื่อให้ผู้ใช้ใส่รหัสผ่าน เมื่อใส่เรียบร้อยแล้วแทนที่รหัสพวกนั้นจะถูกใช้ในการปลดล็อคเพื่อเข้า Account มันจะถูกส่งกลับไปหาแฮกเกอร์

แต่สำหรับ Vultur มาเหนือกว่านั้น เพราะมันจะใช้วิธีแอบบันทึกคลิปการใช้งานบนหน้าจออุปกรณ์เอาไว้เมื่อมีการเข้าใช้แอปธุรกรรม (แน่นอนว่ามันบันทึกการจิ้มรหัสเอาไว้ด้วย) จากนั้นก็จะส่งคลิปนั้นกลับไปที่เซิร์ฟเวอร์ของแฮกเกอร์อีกที และถึงแม้ว่า Vultur จะเน้นโจมตีแอปธุรกรรมซะเป็นส่วนใหญ่ แต่ก็มีรายงานว่าแอปโซเชียลอย่าง TikTok, Facebook, WhatsApp หรือแม้แต่แอปประเภท Crytocurrency ก็มีสิทธิ์โดนเล่นงานด้วยเหมือนกัน

Vultur ยังมีความร้ายกาจจนป้องกันตัวมันเองจากการโดนลบทิ้งได้อีก เพราะมันสามารถเข้าควบคุมหน้าจอบางส่วนได้ อย่างเช่นผู้ใช้รู้ตัวแล้วว่าแอปที่ดาวน์โหลดมาเป็นมัลแวร์ และกำลังจะเข้าไปลบทิ้ง ไอ้เจ้า Vultur ก็จะกดปุ่ม Back ให้เองเลย! แต่ยังพอมีวิธีแก้ไขง่าย ๆ อยู่ก็คือไปปลดการอนุญาตให้แอปที่มี Vultur ไม่สามารถเข้าถึง Accessibility Services ซะก่อนแล้วค่อยไปลบทิ้งอีกที นอกจากนี้ยังมีวิธีสังเกตด้วยว่าหาก Vultur กำลังทำงานอยู่ จะมีไอค่อน Cast โผล่ขึ้นมาบนแถบด้านบน แม้ว่าเราจะไม่ได้ Cast อะไรอยู่ก็ตาม

สัญลักษณ์ Cast ที่จะโผล่ตรงแถบด้านบน

สำหรับการโจมตีของ Vultur จะเริ่มจากผู้ใช้ไปดาวน์โหลดแอปมาติดตั้งในเครื่องซึ่งแอปดังกล่าวจะมีมัลแวร์ประเภท Dropper แฝงอยู่แล้ว หลังจากติดตั้งเสร็จเจ้า Dropper ก็จะแอบไปดาวน์โหลด Vultur มาลงเครื่องอีกทีนึงเพื่อเริ่มการโจมตีต่อไป โดยแอปแฝงมัลแวร์เหล่านี้จะเป็นแอปประเภทรักษาความปลอดภัยของมือถือ (แต่ตัวมันดันเป็นมัลแวร์ซะเอง…) เช่นแอป Protection Guard ที่ถูกดาวน์โหลดไปแล้วกว่า 5,000 ครั้ง และยังแฝงมากับแอปประเภท Fitness อีกด้วย ทาง ThreatFabric ประมาณเอาไว้ว่ามีผู้ใช้ที่หลงกลติดตั้งแอปพวกนี้ไปแล้วว่า 30,000 ราย

ทาง ThreatFabric บอกว่าตอนนี้ผู้ใช้อุปกรณ์ Android ส่วนมากที่โดน Vultur เล่นงาน จะอยู่ในประเทศออสเตรเลีย, สหราชอาณาจักร และประเทศเนเธอร์แลนด์ ซึ่งตอนนี้ถูก Google ลบออกไปจาก Play Store หมดแล้ว

แต่หากใครกังวลว่าเผลอไปดาวน์โหลดแอปที่มี Vultur มาด้วย ก็ให้คอยสังเกตแถบด้านบนให้ดีว่าจะมีไอค่อน Cast โผล่ขึ้นมาเองบ้างมั้ย หรือไปไล่ดูแอปแปลก ๆ ที่ขออนุญาตเข้าถึง Accessibility Services โดยไม่จำเป็นก็ได้ครับ

 

ที่มา : Tomsguide

Leave a Reply

To Top