มือถือ Android กว่าแสนเครื่องในอุซเบกิสถาน ตกเป็นเหยื่อมัลแวร์ขโมย SMS ตัวใหม่ Qwizzserial

มัลแวร์บน Android นั้นอย่างที่ผู้อ่านหลายรายคงทราบกันดีว่า มีอยู่มากมายหลายประเภท และประเภทหนึ่งที่กำลังมาแรงนั่นคือ มัลแวร์ที่ทำงานเกี่ยวเนื่องกับระบบการรับส่งข้อความสั้น หรือ SMS (Short Message Service) ดังเช่นในข่าวนี้

จากรายงานโดยเว็บไซต์ Infosecurity Magazine ได้กล่าวถึงการตรวจพบแคมเปญในการแพร่กระจายมัลแวร์ที่มีความสามารถในการดักจับข้อมูล SMS ที่มีชื่อว่า Qwizzserial ในประเทศอุซเบกิสถาน โดยมีผู้ตกเป็นเหยื่อมัลแวร์ดังกล่าวแล้วมากกว่าแสนราย ซึ่งผลงานการตรวจพบดังกล่าวนั้นเป็นของทีมวิจัยจาก Group-IB บริษัทผู้พัฒนาผลิตภัณฑ์ด้านความปลอดภัยไซเบอร์ โดยมัลแวร์ตัวนี้นั้น ทางทีมวิจัยพบว่ามีส่วนเกี่ยวเนื่องกับมัลแวร์ในตระกูล Ajina โดยจะมุ่งเน้นไปยังกลุ่มผู้ใช้งานอุปกรณ์ที่ใช้ระบบปฏิบัติการ Android ซึ่งความสามารถของมัลแวร์ดังกล่าวนั้น หลังจากที่ตัวมัลแวร์ถูกติดตั้งลงบนเครื่องแล้ว ตัวมัลแวร์จะทำการหลอกขอเข้าถึงข้อมูล SMS และตัวโทรศัพท์ หลังจากนั้นตัวมัลแวร์จะทำการขโมยข้อมูลดังต่อไปนี้

• ข้อมูลบนข้อความ SMS ในส่วนของ Inbox, Sent และ Other Messages โดยข้อมูลทั้งหมดจะถูกรวบรวมเป็นไฟล์บีบอัดแบบ Zip เพื่อส่งกลับไปยังแฮกเกอร์
• เบอร์โทรศัพท์ต่าง ๆ ที่ถูกบันทึกอยู่บนเครื่อง รวมไปถึงรหัสบัตรเครดิต และบัตรธนาคารอื่น ๆ พร้อมวันหมดอายุของบัตร
• ข้อมูลต่าง ๆ ของซิมการ์ด
• ข้อมูลแอปพลิเคชันธนาคารต่าง ๆ ที่ถูกติดตั้งอยู่บนเครื่อง อาจทำงานแยกตามประเทศที่กำหนด สำหรับข่าวนี้ มัลแวร์จะเก็บข้อมูลเฉพาะแอปพลิเคชันธนาคารภายในอุซเบกิสถานเท่านั้น)

ข้อมูลทั้งหมดที่ถูกขโมยนี้จะถูกส่งไปยังแฮกเกอร์ผ่านทางบอทบน Telegram และสำหรับมัลแวร์ในรุ่นใหม่ ๆ บางตัวนั้น อาจมีการใช้วิธีการส่งไปยังเซิร์ฟเวอร์ผ่านทาง HTTP POST Requests ในเวอร์ชันล่าสุดยังมีการสร้างความคงทนบนระบบของเหยื่อเพื่อมั่นใจว่ามัลแวร์จะทำงานได้ตลอดเวลา (Persistence) ด้วยการหลอกให้เหยื่อสั่งปิดระบบถนอมแบตเตอรี (Battery Optimization) และปิดระบบการยืนยันด้วยเลขบัตร เพื่อให้แฮกเกอร์สามารถใช้ข้อมูลที่ขโมยมาได้เพื่อเข้าถึงตัวแอปพลิเคชันได้ทันที

ในส่วนของการแพร่กระจายมัลแวร์นั้น แฮกเกอร์จะแพร่กระจายมัลแวร์ดังกล่าวผ่านทางบริการแชท Telegram ด้วยการสร้างบัญชีและช่องปลอม ที่แอบอ้างว่าเป็นหน่วยงานของรัฐบาลที่จะเสนอความช่วยเหลือทางการเงินให้กับผู้ที่เดือดร้อน ภายใต้ชื่อ “Presidential Support” และ “Financial Assistance” ซึ่งบัญชีและช่องเหล่านี้ จะหลอกให้เหยื่อดาวน์โหลดแอปพลิเคชันจากนอกแอปสโตร์ (Sideloading) ที่อ้างว่าเป็นแอปพลิเคชันสำหรับเข้าถึงบริการดังกล่าว ในรูปแบบไฟล์ APK ซึ่งถ้าเหยื่อหลงติดตั้งก็จะติดมัลแวร์ในทันที

ทางทีมวิจัยระบุว่า การที่มัลแวร์ประเภทนี้ระบาดอย่างหนักในประเทศอุซเบกิสถาน นั้นเนื่องมาจากระบบการยืนยันตัวตนของประเทศนี้นั้นมีการใช้การยืนยันตัวตนผ่านทาง SMS เพียงอย่างเดียว ไม่ได้มีการใช้ระบบอื่น ๆ ที่แข็งแกร่งกว่าอย่าง การยืนยันตัวตนด้วยข้อมูลชีวภาพ (Biomatrics) และ 3D Secure (ระบบการยืนยันตัวตนลูกค้าแบบ 3 มิติ) เปิดช่องให้แฮกเกอร์ใช้ช่องทางดังกล่าวสร้างความเสียหายได้อย่างมาก ซึ่งในการระบาดของมัลแวร์ดังกล่าวเพียงแค่ 3 เดือน ระหว่างเดือนมีนาคม ถึง มิถุนายน ปีนี้นั้น แฮกเกอร์ได้กวาดเงินไปแล้วมากถึง 62,000 ดอลลาร์สหรัฐ (2,010,009 บาท)