โทรจันตัวร้ายบนแอนดรอยด์ พุ่งเป้าแอพที่มีการชำระเงินด้วยบัตรเครดิต
จากเป็นแค่โทรจันธรรมดา ๆ แต่ล่าสุดได้มีการอัปเดตฟีเจอร์ใหม่จนไฮเทคกว่าเดิมแล้ว สำหรับ Faketoken ที่ล่าสุดพบว่าอัปความสามารถในการเป็น ransomware ให้สามารถล็อกไฟล์เรียกค่าไถ่ได้ รวมถึงสามารถขโมย credential ได้จากแอปพลิเคชันด้านการ Booking ต่าง ๆ ได้แล้วด้วย
โดยผู้ที่ตรวจพบความผิดสังเกตนี้ก็คือ บริษัทซีเคียวริตี้อย่าง Kasperksy ที่พบว่าโทรจันอย่าง Faketoken ได้กลายพันธุ์เป็น Faketoken.q ที่ร้ายกว่าเดิม เนื่องจากสามารถตรวจจับและบันทึกการโทรออกของเครื่องที่ติดไวรัสได้ รวมถึงสามารถแสดงผลซ้อนทับหน้าจอของแอปพลิเคชันเพื่อขโมยข้อมูลทางการเงินได้ด้วย
สำหรับการกระจายตัวของ Faketoken.q นั้นพบว่าแพร่กระจายผ่าน SMS ที่ชักชวนให้ผู้ใช้งานดาวน์โหลดไฟล์ภาพ ซึ่งจริง ๆ แล้วก็คือการดาวน์โหลดมัลแวร์นั่นเอง
เมื่อดาวน์โหลดมาแล้ว มัลแวร์จะติดตั้งตัวเองลงในโมดูลที่จำเป็น และในส่วนของเพย์โหลด (Payload) หลัก รวมถึงซ่อนข้อมูลทุกอย่างของตัวเอง และเริ่มทำหน้าที่มอนิเตอร์การใช้งานของผู้ใช้งาน ทั้งการเปิดแอปพลิเคชันและการโทรออก ความน่ากลัวก็คือ เมื่อมีการโทรเกิดขึ้น มัลแวร์จะมีการบันทึกเสียงสนทนาและส่งไฟล์ที่บันทึกนั้นไปยังเซิร์ฟเวอร์ของผู้บุกรุกได้โดยอัตโนมัติ
ซึ่งเมื่อมันทราบว่า แอปพลิเคชันที่ผู้ใช้งานเปิดนั้นคือแอปพลิเคชันอะไร มันจะทำการซ้อนทับ (Overlay) บนหน้าแอปพลิเคชันนั้นด้วยอินเทอร์เฟสปลอมเพื่อเก็บพาสเวิร์ด โดยแอปพลิเคชันที่ Faketoken.q สามารถ Overlay ได้นั้นมีมากมาย รวมถึงแอปพลิเคชันจากธนาคาร หรือผู้ให้บริการด้านการทำธุรกรรมออนไลน์ด้วย เช่น
- Android Pay
- Google Play Store
- แอปพลิเคชันสำหรับจ่ายค่าปรับจราจร
- แอปพลิเคชันจองตั๋วเครื่องบินและโรงแรม
- แอปพลิเคชันเรียกรถแท็กซี่
และเมื่อมีการส่ง SMS มาจากธนาคารเพื่อยืนยันตัวตน ทางมัลแวร์ที่ซ่อนอยู่ก็จะขโมยข้อมูลใน SMS นั้น ๆ และฟอร์เวิร์ดไปให้กับผู้โจมตี เรียกได้ว่าเป็นกลยุทธ์ที่ร้ายแรงทีเดียว
ที่มา http://thehackernews.com/2017/08/android-banking-trojan.html