รู้จัก “RAT” โจมตีสมาร์ตโฟนทำผู้สูญเงินรวมกันหลายล้านบาท หลังดาวน์โหลดแอปพลิเคชันกรมสรรพากรติดตั้งในสมาร์ตโฟนของตัวเอง ด้านศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม ตรวจพบ มัลแวร์ตัวนี้ตั้งแต่เดือน ส.ค. ระหว่างวิเคราะห์ภัยคุกคามทาง
ทันทีที่เป้าหมายหลงเชื่อ และดาวน์โหลดแอปพลิเคชันที่ชื่อว่า REVENUE.apk จากเว็บไซต์ปลอมของกรมสรรพากรที่ผู้ไม่หวังดีส่งลิงก์มาให้ ลงในโทรศัพท์สมาร์ตโฟนที่เป็นระบบปฏิบัติการแอนดรอยด์ของตัวเอง RAT หรือ Android Remote Access Trojan จะเริ่มขโมยข้อมูลต่าง ๆ ในโทรศัพท์ ทั้งชื่อนามสกุล ข้อมูลหมายเลขบัตรประชาชน หมายเลขโทรศัพท์มือถือ ข้อมูลแอปพลิเคชันเกี่ยวกับธนาคารที่ใช้ในอุปกรณ์เป้าหมาย และรหัสผ่านต่าง ๆ แต่เงินจะหายไปจากบัญชีได้ก็ต่อเมื่อมิจฉาชีพรู้รหัสผ่านจากประวัติการใช้งาน
“พิศุทธิ์ ม่วงสมัย” หัวหน้าฝ่ายเทคนิคศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม เปิดเผยว่า เมื่อเปรียบเทียบหน้าเว็บไซต์ของกรมสรรพากรปลอม กับ เว็บไซต์จริง สิ่งที่แตกต่างกันอย่างเห็นได้ชัด นอกจาก URL หรือ ที่อยู่ คือเว็บไซต์ปลอมจะแนบลิงก์ “คลิกเพื่อดาวน์โหลด” ไว้ที่หน้าแรกให้เป้าหมายดาวน์โหลดแอปฯ ที่เป็นอันตราย โดยแอปฯ จะถูกตั้งชื่อ และ ไอคอน ให้ดูเหมือนเป็นของกรมสรรพากรเช่นกัน
ศูนย์ประสานงานรักษาความมั่นคงปลอดภัยทางคอมพิวเตอร์ด้านโทรคมนาคม ตรวจพบแอปพลิเคชนที่เป็นอันตรายตัวนี้ เมื่อวันที่ 16 ส.ค. ระหว่างการวิเคราะห์ภัยคุกคามทางไซเบอร์ เป้าหมายมุ่งโจมตีคนไทยผู้ใช้โทรศัพท์สมาร์ตโฟนระบบปฏิบัติการแอนดรอยด์ โดยการปลอมแปลงแอนดรอยด์แอปพลิเคชัน ให้เหมือนเป็นแอปฯ ของหน่วยงานภาครัฐ
เมื่อเป้าหมายติดตั้งแอปฯ REVENUE.apk และเปิดใช้งานต้องกรอกชื่อและข้อมูลหมายเลขโทรศัพท์ จากนั้นกดปุ่ม ยืนยันเข้าสู่ระบบ กระบวนการนี้เป็นสิ่งที่มิจฉาชีพใช้ยืนยันความถูกต้องของเป้าหมาย
เจ้าหน้าที่พบว่า ทั้งโดเมนและรูปแบบ URL ที่ใช้ส่งข้อมูลออกไปมีระบบการทำงานคล้ายกับที่เคยตรวจพบการปลอมแปลง แอปพลิเคชันของกรมสอบสวนคดีพิเศษ เมื่อ 6 ก.ค.ที่ผ่านมา มิจฉาชีพกลุ่มนี้ ยังเคยนำโดเมนเดียวกัน มาเตรียมปลอมแปลงเป็นเว็บไซต์หน่วยงานที่เกี่ยวข้องกับการเงินการธนาคาร เช่น ธนาคารออมสิน กองทุนเงินให้กู้ยืมเพื่อการศึกษา กระทรวงการคลัง สำนักงานสลากกินแบ่งรัฐบาล กรมสรรพสามิต ธนาคารอาคารสงเคราะห์
จากการตรวจสอบพบข้อมูลเชิงลึกในระบบที่เกี่ยวข้องกับการใช้งานในกลุ่มนักพัฒนาแอปพลิเคชันที่ใช้ภาษาจีน จึงมีความเป็นไปได้ในระดับปานกลางที่ผู้ไม่หวังดีอาจเป็นกลุ่มบุคคลที่ใช้ภาษาจีนในการสื่อสาร
นอกจากนี้ ทางศูนย์ ยังตรวจพบว่า มิจฉาชีพกลุ่มนี้มีแม่ข่ายแฝงตัวอยู่ใน Alibaba.com Singapore E-commerce Private Limited และ AMAZON DATA SERVICES ประเทศสิงคโปร์
ทั้งนี้ คำแนะนำนี้สอดคล้องกับความเห็นของ “สมเกียรติ กิจวงศ์วัฒนะ” นักพัฒนาแอปพลิเคชัน ที่ระบุว่า ประชาชนควรติดตั้งแอปฯ ผ่าน Google Play Store เท่านั้น เพราะเป็นแอปฯ ที่ผ่านการตรวจสอบความปลอดภัยแล้ว ที่สำคัญอย่ากดอนุญาตให้สิทธิ์คนที่ไม่รู้จักเพื่อเข้าควบคุมเครื่อง วิธีการเหล่านี้เพื่อรักษาข้อมูลส่วนบุคคลของตัวเอง และป้องกันการสูญเงินในบัญชีไปโดยไม่รู้ตัว
———————————————————————————————————————————————-
ที่มา : ไทยพีบีเอส / วันที่เผยแพร่ 21 ก.ย.65
Link : https://www.thaipbs.or.th/news/content/319693