NEWS

Svpeng แอนดรอยด์โทรจัน รุกคืบพร้อมบุกโมบายฟิชชิ่ง ดักซุ่มรอกวาดเงินในบัญชี

แก็ดเจ็ต (Gadget) | วันที่ : 12 พฤศจิกายน 2556

แชร์

ปรับขนาดตัวอักษร - ก +ก

นายโรมัน อูนูเช็ค ผู้เชี่ยวชาญของ แคสเปอร์สกี้ แลป เปิดเผยกรณีเกิดโทรจัน Svpeng ว่า ตั้งแต่เกิดโมบายโทรจัน Trojan-SMS.AndroidOS.Svpeng อาชญากรไซเบอร์เรียกได้ว่าไม่อยู่เฉย พัฒนาฟังก์ชั่นชั่วร้ายทั้งหลายไม่หยุดยั้ง มาสู่โทรจันตัวปัจจุบันที่เรียกว่า Svpeng ซึ่งทำหน้าที่ฟิชชิ่งกว้านเก็บข้อมูลการเงินของเหยื่อทั้งหลายได้ตามอำเภอใจ

เมื่อเหยื่อเรียกใช้แบ้งกิ้งแอพพลิเคชั่นของธนาคารยักษ์ใหญ่แห่งหนึ่งในรัสเซีย โทรจันจะส่งหน้าต่างปลอมเข้าแทนที่หน้าต่างที่ถูกต้อง ออกแบบมาเพื่อฉกข้อมูลล็อกอินและรหัสผ่านเข้าระบบธนาคารออนไลน์ของเหยื่อโดยตรง จากนั้นข้อมูลก็จะถูกส่งต่อไปยังอาชญากรไซเบอร์ที่รออยู่ ด้วยกลวิธีเดียวกัน โปรแกรมอาชญากรรมนี้ก็ยังจะขโมยข้อมูลการ์ดเอทีเอ็มหรือการ์ดธนาคาร คอยตามเช็คว่า Google Play เปิดใช้งานอยู่หรือไม่ หากเปิดอยู่ โทรจันจะแสดงหน้าต่างขึ้นมาเหนือหน้าต่าง Google Play แจ้งให้เหยื่อกรอกข้อมูลเกี่ยวกับบัตรธนาคารข้อมูลทั้งหมดที่กรอกเข้าไปจะถูกส่งต่อไปยังอาชญากรไซเบอร์ที่รออยู่ทันที

โทรจันตัวเดียวกันนี้ เป็นตัวที่สามารถขโมยเงินจากบัญชีธนาคารของเหยื่อไปได้หน้าตาเฉย หลังจากเปิดโปรแกรมใช้งานแล้ว จะส่งข้อความไปยังหมายเลขโทรศัพท์ของธนาคารทันที ด้วยวิธีนี้ ผู้ร้ายจะแอบเช็คว่าการ์ดธนาคารต่อเชื่อมกับหมายเลขโทรศัพท์ธนาคารตรงเลยหรือไม่ ดูจำนวนเงินในบัญชี และส่งข้อมูลที่ได้ต่อไปยังซีแอนด์ซีเซิร์ฟเวอร์ของอาชญากร ซึ่งหากการ์ดนั้นต่อกับโทรศัพท์ธนาคารตรง ซีแอนด์ซีก็จะส่งคอมมานด์คำสั่งให้โอนเงินจากบัญชีของเหยื่อไปยังบัญชีเคลื่อนที่หรือบัญชีธนาคารของผู้ร้าย และส่งเงินต่อไปยังกระเป๋าดิจิตัล (digital wallet) เพื่อขึ้นเงินสดต่อไป

ขณะนี้ โทรจันดังกล่าวยังคงคุกคามเพียงธนาคารในรัสเซีย ซึ่งอาชญกรไซเบอร์มักจะใช้เป็นไซต์ทดลองเทคโนโลยีบนอินเทอร์เน็ต ก่อนส่งต่อไปคุกคามในประเทศอื่น เมื่อโทรศัพท์เริ่มต้นทำงาน ประเทศที่ตกเป็นเป้าหมายของโทรจันในปัจจุบันมีดังนี้ สหรัฐอเมริกา เยอรมันนี ยูเครนและเบลารุส มัลแวร์นี้สามารถเช็คได้แม้กระทั่งเวอร์ชั่นของภาษาที่ใช้บนระบบปฏิบัติการ เมื่อมีข้อความตรวจเช็ค Trojan-SMS.AndroidOS.Svpeng ปรากฏบนหน้าต่างว่า “Loading, please wait…” ในภาษาที่สอดคล้องกับเหยื่อแล้ว คอมมานด์จะส่งมาจากซีแอนด์ซีให้โทรจันเปิดเว็บไซต์ (ปกติแล้วจะเป็นฟิชชิ่งไซต์ที่ตั้งหลอกไว้) ด้วยแอดเดรสที่คอมมานด์เซิร์ฟเวอร์ของอาชญากรจัดทำขึ้นไว้

ช่วงสามเดือนที่โทรจันตัวนี้ออกอาละวาด พบส่วนขยายโปรแกรมร้ายนี้ถึง 50 ตัว โดย Kaspersky Internet Security for Android สามารถบล็อกความพยายามในการติดตั้งแทรกซึมของโทรจันนี้ได้มากกว่า 900 ครั้ง โดยมักจะแพร่การจายผ่านเอสเอ็มเอสสแปม โทรจันนี้ระมัดระวังป้องกันตัวเองเป็นอย่างดี

ในการป้องกันตัวให้พ้นจากโปรดักส์ระบบความปลอดภัย โทรจันยังคงใช้แอนดรอยด์ทูลมาตรฐาน – DeviceAdmin เพื่อกันยูสเซอร์ไม่ให้ทำการยกเลิก DeviceAdmin โทรจันใช้ช่องโหว่ที่ไม่เคยรู้กันมาก่อนในแอนดรอยด์ ซึ่งเป็นวิธีเดียวกับที่กันไม่ให้สามารถตั้งค่าโทรศัพท์กลับไปที่ค่ามาตรฐานจากโรงงานนั่นเอง

โปรดสังเกตว่าแม้โทรจันจะมีลูกเล่นต่างๆ มากมายก็ตาม Kaspersky Internet Security for Android ก็ยังสามารถลบโปรแกรมร้ายเหล่านี้ได้ ดังนั้น โปรแกรมเพื่อระบบความปลอดภัย จึงเป็นวิธีเดียวที่สร้างความมั่นใจว่าสามารถป้องกันตนให้พ้นจากเงื้อมมือโจรไซเบอร์ได้