แอปพลิเคชันทางการเงินปลอมแพร่กระจายมัลแวร์ SpyLoan ผ่าน Google Play
สรุปข้อมูล
พบมัลแวร์ SpyLoan บน Android จำนวน 15 แอปพลิเคชันถูกค้นพบบน Google Play โดยมียอดดาวน์โหลดรวมกว่า 8 ล้านครั้ง มุ่งเป้าไปยังผู้ใช้งานในภูมิภาคเอเชียตะวันออกเฉียงใต้ อเมริกาใต้ แอฟริกา รวมถึงประเทศไทยด้วย โดยมักจะพบมัลแวร์ดังกล่าวอยู่บนแอปพลิเคชันที่อ้างว่าเป็นแอปพลิเคชันทางการเงินบน Google Play Store แต่ที่จริงแล้วเป็นมัลแวร์ SpyLoan ที่จะแอบขโมยข้อมูลส่วนตัวของผู้ใช้งาน เช่น 'ได้บาทง่ายๆ-สินเชื่อด่วน' 'ยืมอย่างมีความสุข - เงินกู้' และ 'เงินมีความสุข - สินเชื่อด่วน' ซึ่งในปัจจุบันแอปพลิเคชันเหล่านั้นได้ถูกลบออกจาก Google Play แล้ว
รายละเอียดการโจมตี
- เริ่มแรกแฮกเกอร์จะทำการโปรโมตแอปพลิเคชันทางการเงินที่มีมัลแวร์ผ่านแพลตฟอร์มต่าง ๆ พร้อมเงื่อนไขที่ดูน่าสนใจ
รูปที่ 1: แสดงแอปพลิเคชันทางการเงินที่มีมัลแวร์
- เมื่อผู้ใช้งานทำการติดตั้งแอปพลิเคชัน จะมีการยืนยันตัวตนผ่านรหัส OTP เพื่อตรวจสอบว่าผู้ใช้งานอยู่ในภูมิภาคไหน จากนั้นจะขอให้ผู้ใช้งานส่งข้อมูลที่สำคัญ เช่น เอกสารระบุตัวตน ข้อมูลการทำงาน และบัญชีธนาคาร รวมถึงการให้สิทธิ์ในการเข้าถึงข้อมูลหรือระบบต่าง ๆ บนอุปกรณ์ของผู้ใช้งาน
- เมื่อได้สิทธิ์ในการเข้าถึงข้อมูลหรือระบบต่าง ๆ แล้ว แอปพลิเคชันจะใช้งานสิทธิ์ที่ได้รับมาในการรวบรวมข้อมูล เช่น รายชื่อผู้ติดต่อ ข้อความ SMS กล้องถ่ายรูป บันทึกการโทร และตำแหน่งที่ตั้ง เป็นต้น เพื่อนำไปใช้ในการแบล็คเมล หรือข่มขู่ผู้ใช้งาน
ผลกระทบจากการโจมตี
ผลกระทบจากการโจมตีจากมัลแวร์ SpyLoan ส่งผลกระทบต่อผู้ใช้งาน Android โดยทำให้ข้อมูลส่วนบุคคล เช่น เอกสาร ระบุตัวตน ข้อมูลการทำงาน และบัญชีธนาคาร ถูกขโมยและนำไปใช้ในทางที่ผิด นอกจากนี้ การที่แอปพลิเคชันสามารถเข้าถึงสิทธิ์บนอุปกรณ์ได้ ทำให้ผู้ใช้งานเสี่ยงต่อการถูกข่มขู่ การรั่วไหลของข้อมูล และรีดไถเงิน
สรุปการโจมตี
การโจมตีจากมัลแวร์ SpyLoan จะใช้แอปพลิเคชันทางการเงินที่มีมัลแวร์ เพื่อหลอกให้ผู้ใช้งานให้ติดตั้ง เมื่อติดตั้งแล้วแอปพลิเค ชันจะขอข้อมูลส่วนตัว เช่น เอกสารยืนยันตัวตนและบัญชีธนาคาร และจะแอบขโมยข้อมูลจากอุปกรณ์ เช่น รายชื่อผู้ติดต่อและ ข้อความ จากนั้นจะนำข้อมูลเหล่านี้ไปใช้ข่มขู่หรือรีดไถเงิน
คำแนะนำ
- หลีกเลี่ยงการให้สิทธิ์การเข้าถึงแอปพลิเคชันที่น่าสงสัย เช่น แอปพลิเคชันที่โฆษณาเกินจริง
- หลีกเลี่ยงการคลิกลิงก์หรือดาวน์โหลดแอปพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ
- แจ้งไปยัง Google Play หรือหน่วยงานที่เกี่ยวข้องให้ทำการตรวจสอบแอปพลิเคชันที่น่าสงสัยดังกล่าว
Indicators of Compromise (IoCs)
| มัลแวร์ SpyLoan | |
| SHA-256 | f71dc766744573efb37f04851229eb47fc89aa7ae9124c77b94f1aa1ccc53b6c |
| 22f4650621fea7a4deab4742626139d2e6840a9956285691b2942b69fef0ab22 | |
| b5209ae7fe60abd6d86477d1f661bfba306d9b9cbd26cfef8c50b81bc8c27451 | |
| 9d51a5c0f9abea8e9777e9d8615bcab2f9794b60bf233e3087615638ceaa140e | |
| 852a1ae6193899f495d047904f4bdb56cc48836db4d57056b02352ae0a63be12 | |
| 43977fce320b39a02dc4e323243ea1b3bc532627b5bc8e15906aaff5e94815ee | |
| dfbf0bf821fa586d4e58035ed8768d2b0f1226a3b544e5f9190746b6108de625 | |
| b67e970d9df925439a6687d5cd6c80b9e5bdaa5204de14a831021e679f6fbdf1 | |
| e303fdfc7fd02572e387b8b992be2fed57194c7af5c977dfb53167a1b6e2f01b | |
| e59fd9d96b3a446a2755e1dfc5a82ef07a3965866a7a1cb2cc1a2ffb288d110c | |
| 453e23e68a9467f861d03cbace1f3d19909340dac8fabf4f70bc377f0155834e | |
| ef91f497e841861f1b52847370e2b77780f1ee78b9dab88c6d78359e13fb19dc | |
| 45697ddfa2b9f7ccfbd40e971636f9ef6eeb5d964e6802476e8b3561596aa6c2 | |
| 79fd1dccfa16c5f3a41fbdb0a08bb0180a2e9e5a2ae95ef588b3c39ee063ce48 | |
| 27743ab447cb3731d816afb7a4cecc73023efc4cd4a65b6faf3aadfd59f1768e | |
แหล่งอ้างอิง
