7
มัลแวร์ดูดเงิน หรือ Banking Trojan นั้น นับเป็นหนึ่งในประเภทของมัลแวร์ที่ได้รับความนิยมในหมู่แฮกเกอร์ เพราะถ้าใช้งานเป็น ก็มักจะนำไปสู่การขโมยเงินในบัญชีของเหยื่อได้แบบโดยง่าย ได้ผลประโยชน์แบบจับต้องได้ไว และข่าวนี้ก็เป็นมัลแวร์ในประเภทนี้อีกตัวหนึ่งที่ทุกคนต้องระวัง
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบการกลับมาของมัลแวร์ประเภท Banking Trojan ที่มีชื่อว่า TrickMo ซึ่งเคยระบาดมาแล้วในช่วงปี ค.ศ. 2025 (พ.ศ. 2568) แต่ในคราวนี้ได้กลับมาในเวอร์ชันใหม่ที่มีความสามารถที่มากกว่าเดิม, ล่องหน (Stealth) ภายในระบบได้แนบเนียนกว่าเดิม และหยุดยั้งได้ยากมากกว่าเดิม ซึ่งมัลแวร์เวอร์ชันล่าสุดนี้ได้ถูกตรวจพบในช่วงเดือนมกราคม ถึง กุมภาพันธ์ ที่ผ่านมาโดยทีมวิจัยจาก ThreatFabric บริษัทผู้เชี่ยวชาญด้านการปกป้องลูกค้าธนาคารจากการฉ้อโกงออนไลน์ โดยทางทีมวิจัยพบว่าการแพร่กระจายของมัลแวร์ดังกล่าวนั้นทำผ่านโฆษณาปลอมบนโซเชียลมีเดีย Facebook ด้วยการอ้างว่าเป็นโฆษณาของแอปพลิเคชัน TikTok แต่ความจริงดาวน์โหลดไปแล้วเป็นมัลแวร์นกต่อ (Loader) ซึ่งจะนำไปสู่การฝังมัลแวร์ TrickMo ลงบนเครื่องของเหยื่ออีกทีหนึ่ง โดยทางทีมวิจัยพบว่าแฮกเกอร์ได้มุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งานโทรศัพท์มือถือบนระบบปฏิบัติการ Android ที่อาศัยอยู่ในประเทศฝรั่งเศส, ออสเตรีย และอิตาลี
ภาพจาก : https://cybersecuritynews.com/trickmo-android-banking-malware/
สำหรับตัวมัลแวร์ TrickMo นั้น นอกจากจะเป็น Banking Trojan แล้ว ยังได้ถูกจัดหมวดหมู่ให้อยู่ในกลุ่มของมัลแวร์ยึดเครื่อง (Device Takeover Malware) จากการที่ตัวมัลแวร์นั้นสามารถควบคุมระบบการมีปฏิสัมพันธ์ระหว่างผู้ใช้งานกับเครื่อง (Interactive Control) ได้อย่างสมบูรณ์แบบ ผ่านการใช้ประโยชน์จากระบบช่วยเหลือผู้ใช้งานที่พิการ (Accesibility Mode) โดยหลังจากที่มัลแวร์เข้าสู่เครื่อง และใช้งานโหมดดังกล่าวได้แล้ว ก็จะเริ่มทำการโจมตีด้วยวิธีต่าง ๆ เช่น
- ใช้หน้าจอซ้อน (Overlay Attack) ซ้อนหน้าล็อกอินปลอมทับแอปพลิเคชันธนาคารเพื่อหลอกขโมยรหัสเข้าใช้งาน ซึ่งตัวมัลแวร์นั้นจะเก็บข้อมูลการพิมพ์ (Keystroke) ต่าง ๆ แล้วทำการส่งกลับไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control)
- ดักเก็บข้อมูลข้อความสั้น (SMS หรือ Short Message Service) รวมไปถึงการแจ้งเตือน (Notification) ซึ่งจะเน้นการขโมยข้อมูลสำคัญเช่น รหัสผ่านแบบใช้ครั้งเดียว (OTP หรือ One-Time Password) นอกจากนั้นตัวมัลแวร์ยังสามารถปิดเสียง และ การสั่น เพื่อไม่ให้ผู้ใช้งานรู้ตัวอีกด้วย
- นอกจากด้านการขโมยข้อมูลแล้วตัวมัลแวร์ยังมีการใช้งานโมดูล (Module) ที่มีชื่อว่า dex.module ซึ่งจะนำมาใช้ในการยิงแกนกลางของระบบควบคุมจากระยะไกล (Remote-Control Engine Core) ลงไปยัง Process ของระบบปฏิบัติการ Android ทำให้ตัวมัลแวร์นั้นล่องหน ตรวจจับได้ยาก
สิ่งที่ถูกปรับปรุงมาจากเวอร์ชันก่อนมากที่สุดอย่างหนึ่ง คงจะหนีไม่พ้นระบบการติดต่อกับเซิร์ฟเวอร์ C2 ที่รุ่นดั้งเดิมจะใช้ระบบการติดต่อผ่านโครงสร้างพื้นฐาน (Infrastructure) บนระบบอินเทอร์เน็ตแบบทั่วไป ทำให้สามารถถูกปิด หรือถูกปราบปรามโดยง่าย ทำให้ทางทีมพัฒนาได้ทำการยกระดับขึ้นมาเป็นการติดต่อแบบเครื่องต่อเครื่อง หรือ Peer-to-Peer ผ่านทางเครือข่ายของ The Open Network หรือเป็นที่รู้จักกันในชื่อย่อว่า TON โดยในระบบนี้แทนที่จะติดต่อผ่านโดเมน (Domain) เว็บไซต์ตามปกติ กลับติดต่อสู่เครื่องมือปลายทาง (Endpoint) ที่ตัวที่อยู่ (Address) ลงท้ายว่า .adnl ผ่านเครือข่ายดังกล่าวแทน ซึ่งที่อยู่ดังกล่าวนั้นจะไม่ปรากฎบนระบบอินเทอร์เน็ตตามปกติ ทำให้ถูกบล็อกและถูกปราบปรามได้ยากกว่าเดิม
นอกจากนั้นตัวมัลแวร์แทนที่จะใช้งาน DNS resolver บนเครื่องตามปกติ กลับใช้งาน DNS-over-HTTPS เพื่อซ่อนโดเมนต่าง ๆ ที่เกี่ยวข้องกับมัลแวร์จากระบบสอดส่อง (Monitor) บนระบบของเหยื่อ ทั้งยังสามารถพรางตัวไปในการจราจรของข้อมูล (Data Traffic) อื่น ๆ ที่ใช้งานเครือข่าย TON จนถูกตรวจจับได้ยากมากขึ้นยิ่งกว่าเดิมอีกด้วย
