เตือนภัย! มัลแวร์ “Crocodilus” หลอกเนียน สร้างรายชื่อปลอมในโทรศัพท์

เตือนผู้ใช้สมาร์ทโฟน Android ทั่วโลกระวังภัยคุกคามทางไซเบอร์รูปแบบใหม่ หลังบริษัทความปลอดภัยไซเบอร์ Threat Fabric จากเนเธอร์แลนด์เปิดเผยรายงานเกี่ยวกับมัลแวร์ชนิดใหม่ที่กำลังระบาดในหลายประเทศ โดยใช้วิธีการหลอกลวงที่แยบยลและซับซ้อนยิ่งกว่าที่เคย

มัลแวร์ตัวนี้มีชื่อว่า “Crocodilus” เป็นโทรจันทางการเงิน (banking trojan) ที่มีเป้าหมายหลักในการขโมยข้อมูลบัญชีธนาคารและกระเป๋าเงินดิจิทัลของผู้ใช้ โดยปลอมตัวเป็นแอปพลิเคชันธนาคารและแอปสกุลเงินดิจิทัล (Cryptocurrency) ในหลายประเทศ อาทิ โปแลนด์ ตุรกี สเปน อาร์เจนตินา บราซิล อินเดีย อินโดนีเซีย และสหรัฐอเมริกา 

หนึ่งในคุณสมบัติที่น่ากังวลของมัลแวร์รุ่นล่าสุดคือความสามารถในการเพิ่มรายชื่อผู้ติดต่อปลอมลงในโทรศัพท์ของเหยื่อ ซึ่งส่วนใหญ่จะใช้ชื่อที่สื่อถึงความน่าเชื่อถือ เช่น “Bank Support” หรือ “ฝ่ายบริการลูกค้า” เพื่อหลอกให้เหยื่อรับสายจากหมายเลขแปลกหน้า โดยไม่สงสัยว่ากำลังถูกหลอกลวง

ที่ผ่านมา ผู้ใช้มักได้รับคำแนะนำให้ระวังสายโทรศัพท์จากเบอร์ที่ไม่รู้จัก โดยระบบของ Android เองก็มักแสดงคำเตือนเมื่อมีสายต้องสงสัย อย่างไรก็ตาม กลยุทธ์ใหม่ของ Crocodilus สามารถเลี่ยงระบบเหล่านี้ได้โดยการแทรกรายชื่อที่ดูน่าเชื่อถือเข้าไปในสมุดโทรศัพท์ ทำให้เหยื่อตกเป็นเป้าของการหลอกลวงผ่าน “วิศวกรรมสังคม” หรือการโน้มน้าวทางจิตวิทยาผ่านข้อมูล ได้ง่ายขึ้น 

รายงานระบุว่า Crocodilus ส่วนใหญ่แพร่กระจายผ่านโฆษณาปลอมบนแพลตฟอร์มอย่าง Facebook ซึ่งมักแสดงให้ผู้ใช้กลุ่มอายุ 35 ปีขึ้นไปเห็น และบางส่วนพบว่าเป็นโฆษณาที่แสดงผลได้ไม่นาน เพียง 1-2 ชั่วโมง แต่กลับมีผู้ชมหลายพันรายต่อครั้ง เมื่อเหยื่อคลิกเข้าไปจะถูกนำไปยังเว็บไซต์ปลอมที่ให้ดาวน์โหลดแอปซึ่งมีมัลแวร์แฝงตัวอยู่

หลังจากติดตั้งแล้ว Crocodilus จะเริ่มเฝ้าติดตามแอปการเงินในเครื่อง และสามารถแสดงหน้าล็อกอินปลอมทับแอปจริงเพื่อหลอกขโมยข้อมูลการเข้าสู่ระบบ อีกทั้งยังใช้เทคนิคการพรางตัว เช่น การเข้ารหัส การอัดโค้ด และการเขียนโค้ดให้ยุ่งยากเพื่อต่อต้านการตรวจสอบจากนักวิเคราะห์มัลแวร์

แม้มัลแวร์จะยังพบเฉพาะในกรณีการติดตั้งแอปจากแหล่งที่ไม่ปลอดภัย (sideload) แต่การขยายตัวในหลายประเทศและความสามารถใหม่ที่ซับซ้อนขึ้น ผ่านการนำเทคนิคเชิงจิตวิทยามาใช้ร่วมกับเทคโนโลยีมากขึ้น บ่งชี้ถึงความอันตรายและความพร้อมทางด้านทรัพยากรของผู้อยู่เบื้องหลัง ซึ่งอาจเป็นกลุ่มอาชญากรรมไซเบอร์ขนาดใหญ่

ผู้ใช้ควรหลีกเลี่ยงการติดตั้งแอปจากโฆษณาหรือเว็บไซต์ที่ไม่น่าเชื่อถือ และควรใช้เฉพาะแหล่งดาวน์โหลดที่ได้รับการตรวจสอบ เช่น Google Play Store หลีกเลี่ยงการคลิกลิงก์ในข้อความหรืออีเมลจากแหล่งที่ไม่รู้จัก และควรตรวจสอบให้แน่ใจว่าแอปหรือเว็บไซต์ที่ใช้เป็นของจริง ก่อนกรอกข้อมูลสำคัญใด ๆ

ที่มา ThreatFabric The Record TechSpot

จิตา สุประดิษฐ