ทีมนักวิจัยด้านความปลอดภัยตรวจพบการเปลี่ยนแปลงครั้งสำคัญของกลุ่มอาชญากรไซเบอร์ที่มุ่งเป้าผู้ใช้งาน Android โดยมีการ “ควบรวมการดำเนินงาน” (Merge Operations) ระหว่างกลุ่มผู้กระจายมัลแวร์ตัวพ่น (Droppers) และกลุ่มมัลแวร์ขโมยข้อมูล SMS (SMS Stealers) การรวมตัวนี้ส่งผลให้เกิดแคมเปญการโจมตีที่มีประสิทธิภาพสูงขึ้น โดยมุ่งเน้นไปที่การขโมยรหัสผ่านครั้งเดียว (OTP) เพื่อเข้าถึงบัญชีธนาคารและทำธุรกรรมทางการเงินโดยมิชอบ โดยมีกลุ่มเป้าหมายหลักในขณะนี้คือผู้ใช้งานในแถบประเทศอุซเบกิสถาน แต่มีแนวโน้มขยายตัวไปยังภูมิภาคอื่น
ระดับความรุนแรง (Severity)
วิกฤต (Critical)
เนื่องจากเป็นการโจมตีแบบผสมผสานที่มุ่งเป้าไปที่ระบบการเงินโดยตรง และมีความสามารถในการเลี่ยงผ่านระบบ Multi-Factor Authentication (MFA) ผ่านการขโมย SMS OTP
ผลกระทบต่อระบบ (System Impact)
- Mobile Platforms: อุปกรณ์ที่ใช้ระบบปฏิบัติการ Android ทุกเวอร์ชันที่ติดตั้งแอปพลิเคชันนอก Google Play Store
- Financial Services: ระบบธนาคารออนไลน์และแอปพลิเคชัน E-wallet ที่ใช้ SMS เป็นช่องทางยืนยันตัวตน
- Personal Privacy: ข้อมูลส่วนบุคคล ข้อความ SMS และรายชื่อติดต่อในเครื่องเหยื่อถูกดึงออกไปยังเซิร์ฟเวอร์ของผู้โจมตี
มัลแวร์และกลุ่มภัยคุกคาม (Malware / Threat Actor)
- Malware: Wonderland SMS Stealer, สคริปต์ Dropper สำหรับติดตั้ง RAT (Remote Access Trojan)
- Threat Actor: กลุ่มอาชญากรไซเบอร์ทางการเงิน (ยังไม่มีชื่อเรียกเฉพาะเจาะจง แต่มีการทำงานแบบเครือข่ายพันธมิตร หรือ Malware-as-a-Service)
ขั้นตอนการโจมตีทางเทคนิค (Technical Attack Steps)
- Distribution: ผู้โจมตีใช้เทคนิค Social Engineering หลอกล่อให้เหยื่อดาวน์โหลดไฟล์ APK ผ่านเว็บไซต์ปลอม หรือโฆษณาที่น่าเชื่อถือ
- Dropper Execution: เมื่อเหยื่อติดตั้งแอปฯ ตัว Dropper จะทำงานเบื้องหลังเพื่อดาวน์โหลดและติดตั้งมัลแวร์ตัวหลัก (Payload) คือ Wonderland SMS Stealer
- Permission Escalation: แอปฯ จะขอสิทธิ์เข้าถึงที่อันตราย เช่น “Read SMS” และ “Notification Listener” โดยหลอกว่าเป็นฟีเจอร์ที่จำเป็น
- Exfiltration: มัลแวร์จะดักจับข้อความ SMS ทั้งหมด (โดยเฉพาะ OTP จากธนาคาร) และส่งข้อมูลไปยัง Command and Control (C2) Server ของผู้โจมตี
- Financial Fraud: ผู้โจมตีใช้ OTP ที่ขโมยมาได้ในการเข้าถึงบัญชีธนาคารและโอนเงินออกไปในเวลาเรียลไทม์
คำแนะนำในการป้องกัน
คำแนะนำเร่งด่วน (Short Term):
- ห้ามติดตั้งแอปพลิเคชันจากแหล่งที่ไม่รู้จัก: หลีกเลี่ยงการดาวน์โหลดไฟล์ .APK จากลิงก์ใน SMS หรือเว็บไซต์ภายนอกเด็ดขาด
- ตรวจสอบสิทธิ์การใช้งาน (Permissions): ตรวจเช็คแอปฯ ในเครื่องว่ามีแอปฯ ใดที่ขอสิทธิ์อ่าน SMS โดยไม่จำเป็นหรือไม่ และให้ยกเลิกสิทธิ์นั้นทันที
- เปิดใช้งาน Google Play Protect: ตรวจสอบให้แน่ใจว่าฟีเจอร์สแกนมัลแวร์ของ Google ทำงานอยู่เสมอ
คำแนะนำระยะยาว (Long Term):
- เปลี่ยนรูปแบบ MFA: เปลี่ยนจากการรับ OTP ผ่าน SMS ไปใช้แอปพลิเคชัน Authenticator (เช่น Google Authenticator) หรือใช้ Security Key แทน
- Zero Trust Mobile Policy: สำหรับองค์กร ควรใช้นโยบายการจัดการอุปกรณ์พกพา (MDM) เพื่อควบคุมและตรวจสอบความปลอดภัยของอุปกรณ์ที่เข้าถึงระบบบริษัท
- สร้างความตระหนักรู้: อัปเดตข่าวสารเกี่ยวกับรูปแบบการหลอกล่อใหม่ๆ (Social Engineering) อยู่เสมอเพื่อให้เท่าทันกลลวง
แหล่งที่มาของข้อมูล
Share this content: