มัลแวร์ดูดเงิน Ajina.Banker หลอกดูดเงินผู้ใช้งาน Telegram สามารถขโมย SMS เพื่อเอารหัสผ่าน 2FA ได้
การใช้งานแอปพลิเคชันสำคัญอย่าง แอปทางการเงินต่าง ๆ มักจะต้องมีการใช้ระบบความปลอดภัยเข้ามาเสริมนอกเหนือจากการล็อกอินทั่วไป เช่น การใช้งาน 2 Factors Authentication หรือ 2FA ซึ่งเป็นระบบการล็อกอิน 2 ชั้น เข้ามาช่วย แต่ปัจจุบันนั้น แฮกเกอร์กลับมาวิธีการมากมายในการต่อกรกับระบบป้องกันดังกล่าว
จากรายงานโดยเว็บไซต์ The Hacker News ได้มีรายงานถึงการตรวจพบมัลแวร์ Ajina.Banker ซึ่งเป็นมัลแวร์ประเภทขโมยเงินจากบัญชีธนาคาร หรือ Banking Trojan โดยทีมวิจัยจาก Group-IB บริษัทที่ให้บริการด้านความปลอดภัยไซเบอร์จากสิงคโปร์เผยว่า
มัลแวร์ตัวดังกล่าวนั้นปัจจุบันกำลังระบาดอยู่บนแอปพลิเคชันแชทชื่อดัง Telegram โดยปลอมตัวเป็นแอปพลิเคชันปลอม โดยทางแฮกเกอร์จะใช้บัญชีปลอมส่งข้อความพร้อมกับลิงก์ดาวน์โหลด โดยอ้างว่า เป็นการดาวน์โหลดเพื่อรับโปรโมชัน หรือข้อเสนอพิเศษ จากแบรนด์ และร้านค้าชื่อดังต่าง ๆ โดยทางทีมวิจัยได้ระบุว่า การโจมตีด้วยวิธีนี้นั้นแฮกเกอร์ได้ทำการหลอกลวงให้แนบเนียนยิ่งขึ้น ด้วยการปรับคำชักชวน และโปรโมชันให้เหมือนที่มีอยู่ในท้องถิ่นนั้น ๆ
สำหรับการแพร่กระจายในช่องทางอื่นอย่างเช่น Google Play Store ทาง Google ได้ออกมาทำการยืนยันว่า ยังไม่มีการตรวจพบว่ามีมัลแวร์ดังกล่าวแฝงตัวกับแอปพลิเคชันที่อยู่บน Play Store นอกจากนั้นแล้วทาง Google ยังยืนยันว่า ผู้ใช้ทุกรายที่ไม่มีการปรับแต่งตัวระบบปฏิบัติการ Android โดยไม่ได้รับอนุญาต ล้วนแต่ได้รับการปกป้องโดยบริการ Google Play Protect ทั้งสิ้น
สำหรับมัลแวร์ Ajina.Banker นั้น ตัวมัลแวร์มีความสามารถในการขโมยข้อมูลที่หลากหลาย เช่น การสแกนซิมการ์ดเพื่อเก็บข้อมูลของตัวซิม, การตรวจหาแอปพลิเคชันด้านการเงิน เช่น แอปพลิเคชันธนาคาร และ การลงทุนต่าง ๆ ที่ถูกติดตั้งอยู่บนเครื่องของเหยื่อ รวมไปถึงการเข้าถึงเบอร์โทรศัพท์ต่าง ๆ ที่ถูกบันทึกไว้ในส่วนของ Contacts และ การเข้าถึงข้อความ SMS (Short Message Services) บนเครื่องของเหยื่อ ที่มักใช้ในการรับรหัส OTP (One-Time Password) ซึ่งเป็นรหัส 2FA ในรูปแบบหนึ่ง
ภาพจาก : https://www.group-ib.com/blog/ajina-malware/
ข้อมูลเหล่านี้จะถูกส่งต่อไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อให้แฮกเกอร์สามารถเข้าถึงแอปพลิเคชันทางการเงินที่อยู่บนเครื่องเพื่อทำการขโมยเงินต่อไป นอกจากนั้นตัวมัลแวร์ยังมีการเข้าถึงการใช้งานใน Accessibility Mode ผ่าน API เพื่อการได้รับสิทธิ์เข้าถึงระบบที่สูงกว่าเดิม และป้องกันมัลแวร์จากการถูกลบโดยเหยื่อ หรือระบบป้องกันได้อีกด้วย
โดยปัจจุบันนั้น มัลแวร์ตัวดังกล่าวได้ถูกพบว่ากำลังระบาดอยู่ในหลากหลายประเทศ เช่น ไอซ์แลนด์, ยูเครน, อุซเบกิสถาน, รัสเซีย, ทาจิกิสถาน, ปากีสถาน, อาเซอร์ไบจาน, อาร์มีเนีย, และคีร์กีซสถาน เป็นต้น โดยยังไม่มีรายงานว่ามีการระบาดในประเทศไทย แต่ด้วยการที่ Telegram นั้นเริ่มมีการใช้งานมากขึ้นในประเทศไทย ผู้ใช้งานที่กำลังใช้อยู่ก็ไม่ควรจะประมาท และขอให้ยึดนโยบายความปลอดภัยอย่างที่ทางทีมข่าวได้แนะนำมาตลอดคือ อย่าดาวน์โหลดสิ่งใด ๆ จากบุคคลที่ไม่น่าเชื่อถือ