ขโมยข้อมูลสำคัญจากแอป Banking และ Crypto Wallet ในเอเชียตะวันออกเฉียงใต้
Last updated: 6 Nov 2025
111 Views
สรุปข้อมูล
พบการโจมตีใหม่โดยใช้มัลแวร์ประเภท Banking Trojan ชื่อว่า Android/BankBot-YNRK ซึ่งแพร่กระจายผ่านแอปปลอม อย่าง แอปที่เกี่ยวข้องกับ Digital ID มุ่งเป้าไปยังหน่วยงานเกี่ยวกับการเงิน อาทิ ธนาคาร ของประเทศในภูมิภาคเอเชียตะวันออกเฉียงใต้ เช่น ประเทศอินโดนีเซีย เวียดนาม มาเลเซียและไทย เพื่อขโมยข้อมูล Credential และ Crypto Wallet
รายละเอียดการโจมตี
- เริ่มแรกแฮกเกอร์ทำการแพร่กระจายในรูปแบบการโจมตี Social Engineering โดยการส่งไฟล์ APK ที่เป็นมัลแวร์ให้กับเหยื่อผ่านการปลอมเป็นแอปพลิเคชันที่ถูกต้อง เช่น เหตุการณ์การโจมตีในประเทศอินโดนีเซียปลอมเป็นแอปชื่อ Identitas Kependudukan Digital ที่เกี่ยวกับ Digital ID และทาง Cyfirma ยังเคยพบว่ามีการปลอมเป็นแอป Google News โดยเปลี่ยนชื่อและไอคอนผ่าน GoAppLauncher เพื่อหลอกให้เหยื่อดาวน์โหลดและติดตั้งแอปปลอมข้างต้นบนอุปกรณ์ Android ของเหยื่อเอง
- เมื่อแอปที่เป็นมัลแวร์ทำงาน ตัวมัลแวร์จะเริ่มรันและดำเนินการตรวจสอบ Environment ของเหยื่อ เช่น การตรวจสอบว่าอยู่ในเครื่อง Virtualize หรือ Emulator หรือไม่ผ่านการตั้ง Handler หรือ Checker ใน ArrayList และมีการตรวจสอบว่ารุ่นของอุปกรณ์และผู้ผลิต เพื่อดูว่าตรงกับเป้าหมายเฉพาะหรือไม่ เช่น Samsung, Xiaomi, Oppo หรือ Google Pixel โดยการใช้ Hash Map เปรียบเทียบรุ่นอุปกรณ์กับ Screen Resolution
- ต่อมามัลแวร์จะเก็บข้อมูลเกี่ยวกับอุปกรณ์จาก android[.]os[.]Build เช่น เวอร์ชัน Android, ชื่ออุปกรณ์, รุ่น, Build ID และข้อมูลฮาร์ดแวร์ เพื่อใช้ในการวิเคราะห์ และปรับเปลี่ยนพฤติกรรมให้เหมาะสมกับอุปกรณ์ผ่าน logDeviceInfo()
- ในขั้นตอนการหลีกเลี่ยงการตรวจจับมัลแวร์ใช้เทคนิคการ Obfuscate โค้ด เช่น nmm-protect และใช้ AudioManager ของ Android และตั้งระดับเสียงของอุปกรณ์ เช่น Music Stream, Ringtone, Notifications เป็น 0 เพื่อป้องกันไม่ให้เหยื่อสังเกตการทำงานผิดปกติต่าง ๆ ที่เกิดจากมัลแวร์
- หลังจากนั้นมัลแวร์จะทำการขอสิทธิ์ Accessibility และการขอสิทธิ์ Device Admin อื่น ๆ เพิ่ม โดยใช้คำสั่ง OPEN_ACCESSIBILITY จาก C2 Server เพื่อเปิดหน้า Accessibility Setting ผ่าน Intent และบังคับให้เหยื่อเปิด Accessibility Service ของมัลแวร์, เพิ่มตัวเองเป็น Device Administrator ผ่าน Intent และใช้ Accessibility Service เพื่อดำเนินการตามที่ต้องการได้ เช่น การคลิก ปัดหน้าจอ และป้อนข้อมูลโดยอัตโนมัติโดยไม่ต้องรับการ Verify จากเหยื่อโดยตรง ซึ่งในข้อที่ 5 จะเกิดขึ้นใน Android เวอร์ชัน 13 หรือต่ำกว่า ส่วนใน Android เวอร์ชัน 14 หรือใหม่กว่าการขอสิทธิ์ผ่าน Accessibility ค่อนข้างยากกว่า
- มัลแวร์ใช้ JobScheduler ของ Android ตั้ง JobHandlerService ให้รันซ้ำทุก ๆ 30 วินาที โดยมีเงื่อนไขว่าต้องเชื่อมต่อเน็ต และตั้งเป็น Persisted Job เพื่อให้ทำงานต่อเนื่องแม้จะ Reboot เครื่องก็ตาม
- การติดต่อสื่อสารกับ C2 Server มัลแวร์ติดต่อผ่าน HTTP Port 8181 และรองรับ WebSocket ที่ Port 8989 ใช้ในการส่งข้อมูล Device ID, รายชื่อแอป, สถานะของอุปกรณ์ และรับคำสั่งหลายอย่าง เช่น
- การติดตั้งและถอนการติดตั้งแอปพลิเคชัน
- การเปิดและปิดแอป, จัดการหน้าจอ, สั่ง Simulated Input อาทิ การคลิกและการปัด
- เปิดและปิด Accessibility, ตั้ง Device Admin, กำหนด Input Methods (IME)
- ขโมยข้อมูลผู้ติดต่อ, SMS, ตำแหน่งและ Clipboard
- เปิดใช้งาน Call Forwarding ผ่านคำสั่ง MMI (21*{str}#)"
- ถ่ายรูปหน้าจอ, ซ่อนหน้าต่างและป้อนข้อความใน Input Field ต่าง ๆ
- นอกจากนี้ยังมีการขโมยข้อมูลและการตรวจสอบ UI โดยการดักข้อมูล Clipboard เพื่อขโมยรหัสผ่านและ Crypto Key ใช้ Accessibility Service จับภาพหน้าจอและดึง Metadata ของ UI เช่น View Bounds, Package Name, Class Name, View ID และข้อความ เพื่อสร้างโครงสร้าง Skeleton UI สำหรับการสั่งทำงานและดักข้อมูล รวมไปถึงมัลแวร์สามารถใช้ Accessibility ในการเปิดหรือดำเนินการใด ๆ บนแอป Banking และ Crypto Wallet ด้วยโมดูล Controller เขียนด้วย Kotlin เช่น Exodus และ MetaMask เพื่อขโมย Seed Phrases, Private Keys และดำเนินการธุรกรรมโดยไม่ได้รับอนุญาต
- มีการใช้ autoCloseBiometrics Flag ในการควบคุมการปฏิสัมพันธ์กับ Dialog ของ Biometric โดยไม่ได้อ่าน Template ของลายนิ้วมือหรือใบหน้า แต่สามารถปิด Dialog เพื่อเดินธุรกรรมต่อไปได้
- ในระหว่างมัลแวร์ทำงานนั้น มัลแวร์ใช้ Activity-alias เพื่อปลอมเป็น Google News โดยเปลี่ยนชื่อและไอคอนแอป พร้อมมีการโหลดเว็บ news[.]google[.]com ผ่าน WebView ในการสร้างความน่าเชื่อถือไม่ให้เหยื่อสามารถสังเกตพฤติกรรมผิดปกติได้
ผลกระทบจากการโจมตี
จากการโจมตีด้วยมัลแวร์ Android/BankBot-YNRK ทำให้แฮกเกอร์สามารถขโมยข้อมูลการเข้าสู่ระบบของแอป Banking และ Crypto Wallet รวมถึง Seed Phrases และ Private Keys ของ Cryptocurrency แล้วนำไปเข้าถึงและ Compromise บัญชีของเหยื่อเพื่อดำเนินการอันตรายต่าง ๆ เช่น การทำธุรกรรมโดยไม่ได้รับอนุญาต
สรุปการโจมตี
สรุปการโจมตี
มัลแวร์ Android/BankBot-YNRK แพร่กระจายโดยปลอมแปลงแอปที่ถูกต้องเพื่อหลอกให้เหยื่อติดตั้ง จากนั้นตรวจสอบอุปกรณ์และขอสิทธิ์การเข้าถึงเพื่อควบคุมการทำงานของเครื่องเหยื่อ พร้อมเชื่อมต่อกับ C2 Server เพื่อขโมยข้อมูลสำคัญและ Remote ควบคุมอุปกรณ์ในการทำธุรกรรมต่าง ๆ โดยที่เหยื่อไม่รู้ตัว
คำแนะนำ
คำแนะนำ
- ห้ามติดตั้ง APK จากแหล่งที่ไม่เชื่อถือ เช่น URL จาก Social หรือแอปนอกจากใน Google Play Store
- หลีกเลี่ยงการเปิดลิงก์หรือดาวน์โหลดไฟล์ APK จากแหล่งไม่รู้จักหรือข้อความที่ไม่น่าเชื่อถือ
- จำกัดสิทธิ์ Accessibility และ Device Admin ให้เฉพาะแอปที่จำเป็นเท่านั้น
- หมั่นอัปเดตระบบปฏิบัติการและแอปพลิเคชันให้เป็นเวอร์ชันล่าสุดเสมอ
- ตั้งรหัสผ่านหรือ PIN ที่ซับซ้อนและเปิดใช้งานการ MFA
- ใช้ Google Play Protect เปิดใช้งานเพื่อตรวจสอบความปลอดภัยของแอปที่ติดตั้งบนอุปกรณ์
- Awareness Training เกี่ยวกับรูปแบบการโจมตีให้กับบุคลากรในองค์กร เช่น Social Engineering
- พิจารณาการการตั้งค่าไฟร์วอลล์และระบบตรวจจับการบุกรุกเพิ่มเติม
แหล่งอ้างอิง
https://www.cyfirma.com/research/investigation-report-android-bankbot-ynrk-mobile-banking-trojan/
Related Content
