TrickBot เป็นหนึ่งในมัลแวร์ที่มุ่งโจมตีบริการทางธนาคาร ซึ่งวันนี้ IBM X-Force ได้เปิดเผยถึงวิธีการใหม่ที่คนร้ายใช้เพื่อลัดผ่านการป้องกัน OTP ของธนาคารผ่านทางมือถือ
ไอเดียเริ่มต้นจากผู้ที่ติดมัลแวร์ TrickBot บนคอมพิวเตอร์ก่อน โดยหลังจากที่ไปฝังตัวในบราวเซอร์ได้ มัลแวร์ก็จะมีการดักจับการเข้าบริการธนาคาร จากนั้นมัลแวร์จะหลอกให้เหยื่อดาวน์โหลดแอปพลิเคชั่น Android ที่อ้างตัวว่าเป็น Avast Antivirus หรือ Deutsche Bank Security Control ซึ่งแท้ที่จริงแล้วคือโทรจันที่ชื่อ IBM ตั้งชื่อให้ว่า TrickMo
TrickMo มีความสามารถหลายด้านโดยไอเดียก็คืออาศัยฟีเจอร์ Accessibility ของ Android ที่ออกแบบมาสำหรับผู้พิการ ทั้งนี้มัลแวร์สามารถ intecept ตัว Transaction Authentication Number (TANs) ที่ประกอบด้วย OTP, mobile TAN (mTAN) และ pushTAN ได้และส่งโค้ดที่ได้มากลับไปยังเซิร์ฟเวอร์ของคนร้าย
แต่ไม่เพียงเท่านั้นจากการวิเคราะห์ของผู้เชี่ยวชาญยังพบว่ามัลแวร์ยังมีความสามารถอื่นเพื่อทำให้ปฏิบัติการแนบเนียนจนสังเกตได้ยากดังนี้
– สามารถขโมยข้อมูลอุปกรณ์ (Fingerprint) และส่งกลับไปให้คนร้าย ซึ่งคนร้ายอาจจะใช้ปลอมเป็นพฤติกรรมที่ดูเหมือนมาจากเหยื่อได้
– ดักจาก SMS
– ลอบบันทึก OTP, mTAN และ pushTAN ของแอปพลิเคชั่น
– ล็อกโทรศัพท์เพื่อปิดบังการทำงานบางอย่างไม่ผู้ใช้เห็น
– ขโมยภาพจากอุปกรณ์
– ทำลายตัวเองเพื่อปิดบังร่องรอย
– ทำ Persistence บนอุปกรณ์เพราะสามารถทราบถึงการบรอดคลาสของ android.intent.action.SCREEN_ON และ android.provider.Telephony.SMS_DELIVER เพื่อรีสตาร์ทตัวเองหลังจากมีการรีบูทเมื่อหน้าจอถูกเปิดหรือมี SMS เข้า
ทั้งนี้วิธีการลัดผ่านการป้องกัน SMS ไม่ใช้วิธีการใหม่ แต่ก็ถือเป็นการวิวัฒนาการตัวเองของมัลแวร์บนมือถือ อย่างไรก็ดี IBM ชี้ว่าการโจมตียังพบแค่ในประเทศเยอรมันเท่านั้น สุดท้ายแล้วผู้ใช้งานก็ต้องใช้งานอย่างรอบคอบครับเพื่อป้องกันไม่ตกเป็นเหยื่อได้โดยง่าย
ขอขอบคุณแหล่งที่มา :
https://www.techtalkthai.com/trickbot-banking-malware-operator-can-now-bypass-otp-sms-on-mobile/
https://www.zdnet.com/article/trickbot-now-pushes-android-app-for-bypassing-2fa-on-banking-accounts/