วิธีเช็กแอปดูดเงินว่ามันในเครื่องหรือไม่ จะป้องกันอย่างไร

วันนี้เราจะมาไขคำตอบพร้อมเฉลย วิธีเช็กแอปดูดเงินว่ามันในเครื่องหรือไม่ จะป้องกันอย่างไร โดยบทความนี้เราได้ความรู้จากคุณ Narun Chanyavilas ที่เป็น IT Security Researcher โดยวันนี้เราจะมาให้ความรู้แก่ท่านผู้อ่านแบบไขหมดหมดเปลือก ถึงขั้นตอนการทำงานของแอพปลอม วิธีตรวจสอบและเมื่อท่านเผลอเรอติดตั้งไปแล้วจะต้องแก้อย่างไร…

วิธีเช็กแอปดูดเงินว่ามันในเครื่องหรือไม่ จะป้องกันอย่างไร BY Narun Chanyavilas

เนื่องจากเวลานี้มีผู้เสียหายจำนวนมากที่ถูกดูดเงินไปหมดบัญชีธนาคาร  ตามข่างเรื่องนี้ไม่ได้เพิ่งเกิดขึ้นเป็นครั้งแรก ดังนั้นวันนี้ทางคุณ Narun เลยจะขอมาแชร์ว่าจริง ๆ แล้วมันมีการทำงานยังไงกันแน่ ทำไมเงินเราถึงหายไปได้ อันที่จริงมีเหตุการณ์ที่อาจเชื่อได้ว่าเป็นแก๊งที่เกี่ยวข้องกันเกิดขึ้นมาตั้งแต่ช่วงกลางปี 2564 แล้ว โดยแบ่งออกเป็น 3 รูปแบบดังนี้

แก๊ง Call Center

โทรมาให้เหยื่อทำการติดตั้งโปรแกรมจำพวก TeamViewer เป็นยุคแรกของการหลอกควบคุมเครื่องอย่างแท้จริง โจรจะเข้ามาทำการใช้วิธีทางจิตวิทยา (Social Engineer) เพื่อให้เหยื่อเกิดความกลัว และเปิดเผยข้อมูล จนโจรสามารถโอนเงินออกจากบัญชีลูกค้าได้ในที่สุด

แก๊งโทรมาหลอกให้โหลดแอพภาครัฐปลอม

โดยตัวแอปจะลักษณะหน้าตาดูน่าเชื่อถือคล้ายแอปจริงแต่จะ ต่างกันแค่ภาพและสีที่ใช้ประกอบให้หลงเชื่อเท่านั้น ลองดูดังตัวอย่างต่อไปนี้

ข้อสังเกตแอปภาครัฐปลอม

1.แอปจะมีการให้ตั้ง PIN ถึง 2 ครั้ง โดยข้อมูลนี้จะถูกโจรนำไปลองใช้ในการใส่เป็น PIN ขณะเข้าแอพธนาคารต่างๆ

2.หาก PIN ที่พิมพ์ในแอพใช้งานไม่ได้ บางกรณีโจรจะถามลูกค้าตรง ๆ เช่น PIN ที่ใส่มาเป็นอันเดียวกับธนาคารหรือไม่ หากไม่ใช่ให้บอก PIN ธนาคาร เพื่อทำการตรวจสอบบัญชีให้สำเร็จ

3.ถ้ายังไม่ได้ PIN โจรอาจบอกให้ลูกค้าโอนเงินจำนวนเล็ก ๆ ระหว่างบัญชีของตนเอง ระหว่างนี้โจรจะสังเกตตัวเลขที่กระพริบเวลาเหยื่อกด PIN บนหน้าจอ หรือในบางครั้งก็อาศัยจังหวะหลังจากที่เหยื่อใส่ PIN แล้ว แต่ยังไม่ได้ปิดแอพธนาคาร ทำรายการโอนเงินต่อเลย

4.หน้าจอสุดท้ายจะเป็นการ Permission 3 อย่าง

• ขอทำตัวเป็นแอปสำหรับผู้พิการ (Accessibility Service) เพื่อให้ตัวแอปสามารถทำงานได้ตลอดเวลา 24 ชั่วโมง ถึงแม้เราจะ kill app ทิ้งไปแล้วก็ตาม และ สามารถแตะหน้าจอในตำแหน่งใด ๆ แทนผู้ใช้งานได้
• ขอทำการถ่ายทอดหน้าจอ (Screen Casting) เพื่อให้แอปสามารถคัดลอกหน้าจอแล้วส่งภาพวีดีโอของหน้าจอเราขึ้นไปยังระบบของโจร ดังนั้นโจรจะสามารถเห็นหน้าจอเราได้ตลอดเวลาไม่ว่าเราจะทำอะไรอยู่ที่หน้าไหนก็ตาม!
• ขอเขียนภาพทับโปรแกรมอื่น (System Alert Screen Overlay) เพื่อให้แอปสามารถเขียนภาพใด ๆ ทับบนหน้าจอโทรศัพท์แบบเต็มจอ ผู้ใช้จะมองไม่เห็นว่าโจรกำลังทำอะไรอยู่บนเครื่องของตน และไม่สามารถแตะปุ่มเพื่อปิดเครื่องบนหน้าจอ หรือสลับแอพได้เลย

5.หลังจากที่เหยื่อถูกข่มขู่และหลอกจนหลงเชื่อ เมื่อมีการให้ Permission ของผู้พิการไปแล้ว ตัวแอพจะแอบไปกด Allow การถ่ายทอดหน้าจอเองโดยอัตโนมัติ เพื่อไม่ให้เหยื่อรู้ตัวว่ากำลังถูกแอบถ่ายทอดหน้าจอ

6.หลังจาก Allow Permission ครบทั้ง 3 ข้อแล้ว หน้าจอโทรศัพท์จะถูกล๊อคทันที เพื่อให้โจรเข้ามาควบคุมและทำรายการกับแอปธนาคารได้โดยเหยื่อไม่รู้ตัว ขณะเดียวกันโจรจะบอกเหยื่อให้วางโทรศัพท์นิ่ง ๆ ห้ามแตะต้อง

แก๊งปลอยลิงค์หรือปลอยแอปโจรให้โหลด

ในขั้นตอนนี้โจรจะเลิกใช้ความหวาดกลัวหรือตื่นตระหนกเพื่อหลอกล่อเหยื่อ แต่เปลี่ยนมาหลอกให้เหยื่อเต็มใจในการติดตั้งโปรแกรมแทน น่าจะเพราะว่าโอกาสที่เหยื่อจะไปขอความช่วยเหลือผู้อื่นมีน้อยกว่า นอกจากนั้นตัวโปรแกรมก็มีความสามารถในการซ่อนตัวเก่งมากขึ้นอีกด้วย โดยแอปใหม่ของโจรในครั้งนี้พัฒนาต่อยอดมาจากในยุคก่อนหน้า แต่ปลอมตัวเป็นโปรแกรมยอดนิยมทั่วไป เช่น โปรแกรมดูไลฟ์ โปรแกรมหาคู่ โปรแกรมดูภาพสยิว หรือโปรแกรมแชทยอดนิยมก็ตาม ถ้ายกตัวอย่างดัง ๆ และมีเหยื่อหลายรายคือ Snapchat และ Bumble

แต่หลังทำการติดตั้งไปแล้ว ตัวแอปจะขอใช้สิทธิเป็นแอพสำหรับผู้พิการเช่นเดิม หากให้สิทธิแล้วจะแสดงเหมือนมีโฆษณามาให้เราดู แต่ความจริงกำลังซ่อนตัวเองทำให้หาไม่เจอ และแสดงข้อความอ้างว่า Compatibility problem!APP wil be uninstall! (เกิดปัญหาความไม่เข้ากัน! แอพจะลบตัวเอง!)  ในความเป็นจริงแอพได้ติดตั้งเรียบร้อยแล้ว และเปิดช่องให้โจรสามารถเชื่อมต่อเข้ามาดูและควบคุมหน้าจอโทรศัพท์เราเมื่อใดก็ได้ หลังจากที่เหยื่อติดตั้งไปแล้ว โจรมักจะทิ้งให้เหยื่อตายใจและใช้เวลาสักพักหนึ่งในการสังเกตพฤติกรรม เช่น ใช้ธนาคารใดบ้าง มีเงินในบัญชีแต่ละธนาคารเท่าไร และจดจำรหัส PIN จากที่เหยื่อกดบนหน้าจอโทรศัพท์

โดยโจรจะแอบดูหน้าจอเหยื่อตลอดเวลา ผ่านไป 2–3 สัปดาห์ จนเหยื่อลืม เมื่อสบโอกาสโจรจะทำการยกเลิกการล๊อคหน้าจอ อีกทั้งสามารถปิดแสงหน้าจอเพื่อไม่ให้เหยื่อรู้ตัว แล้วเชื่อมต่อเข้ามาส่งคำสั่งที่โทรศัพท์ของเหยื่อ ทำการโอนเงินออกจากบัญชีไป เหลือเพียงโทรศัพท์เปล่าๆ ให้เหยื่องงว่าเหตุการณ์เกิดขึ้นได้อย่างไร

ที่ร้ายกว่านั้นคือแอปโจรตัวนี้หลังจากติดตั้งแล้ว ไม่สามารถลบออกได้ เมื่อเราพยายามลบแอพมันจะปิดหน้าจอ Setting ทิ้งทันที และถ้าเราพยายาม Factory Reset โทรศัพท์ แอพโจรก็จะถอยออกจากหน้านั้นเองโดยอัตโนมัติอีกด้วย!

สามารถแก้ปัญหาแอปเหล่านี้ได้อย่างไรหากติดตั้งไปแล้ว

วิธีการตรวจแอปเหล่านี้นั้นตรวจสอบค่อนข้างทำได้ยาก เพราะ Android แต่ละรุ่นแตกต่างกันไป คุณ Narun แนะนำให้ท่านลองเข้าไปในเมนูผู้พิการ หรือ Accessibility แล้วตรวจสอบในหมวด Downloaded apps ดูว่ามีรายการแอพใดแสดงขึ้นมาบ้างหรือไม่ ถ้ามีและเปิด On อยู่ โดยที่เราไม่รู้เหตุผล ควรรีบปิดหรือถอนการติดตั้ง

หากท่านโชคร้ายกำลังเป็นเหยื่อของแอปโจรซึ่งไม่สามารถปิดหรือถอนการติดตั้งได้ ผู้เขียนมีคำแนะนำมาให้ 2 ทาง ดังนี้

1.หากท่านเป็นผู้ใช้งานปกติ ขอให้เปิด Airplane Mode โดยเร็วที่สุด เพื่อตัดสัญญาณไม่ให้โทรศัพท์สามารถเชื่อมต่อกับ Internet ได้ (รวมถึงถอดซิมและปิด Wifi หากจำเป็น) เพื่อเป็นการสกัดกั้นไม่ให้โจรสามารถเชื่อมต่อเข้ามาได้ จากนั้นนำโทรศัพท์เข้าติดต่อกับศูนย์บริการอย่างเป็นทางการของโทรศัพท์ที่ท่านใช้งานอยู่ครับ

2หากท่านเป็นนักพัฒนาหรือมีความรู้ทางเทคนิค อาจต่อสาย USB เข้ากับคอมพิวเตอร์ และเปิด Android Debug Mode จากนั้นใช้คำสั่งดังต่อไปนี้เพื่อถอนการติดตั้ง

• # ทำการตรวจสอบรายชื่อ App ที่ติดตั้งบนเครื่องทั้งหมดด้วยคำสั่ง
  adb shell pm list packages
• # เมื่อพบชื่อแอพโจร ให้ทำการลบออกด้วยคำสั่ง adb uninstall <package name>
• # เช่น adb uninstall com.mezwyh.owuftjkv

แอปอันตรายควรลบออกจากเครื่อง

1. Battery Charging Animations Battery Wallpaper
2. Classic Emoji Keyboard
3. Battery Charging Animations Bubble – Effects
4. Easy PDF Scanner
5. Dazzling Keyboard
6. Halloween Coloring
7. EmojiOne Keyboard
8. Smart TV remote
9. Flashlight Flash Alert On Call
10. Volume Booster Hearing Aid
11. Now QRcode Scan
12. Volume Booster Louder Sound Equalizer
13. Super Hero – Effect

รายชื่อไฟล์ที่โจมตียูสเซอร์ 10 อันดับสูงสุด

1. HEUR:Trojan.AndroidOS.Hiddapp.ch
2. HEUR:Trojan.AndroidOS.Boogr.gsh
3. UDS:DangerousObject.Multi.Generic
4. not-a-virus:HEUR:AdWare.AndroidOS.MobiDash.z
5. not-a-virus:HEUR:AdWare.AndroidOS.Mobidash.ai
6. not-a-virus:HEUR:RiskTool.AndroidOS.Frime.a
7. HEUR:Trojan-SMS.AndroidOS.Opfake.a
8. not-a-virus:HEUR:RiskTool.AndroidOS.Dnotua.ixj
9. not-a-virus:HEUR:AdWare.AndroidOS.Mobidash.ag
10. UDS:DangerousObject.AndroidOS.GenericML

สุดท้ายนี้ แอปโจรยุคมีวิธีป้องกันเดียวกันและง่ายมากครับ คือห้าม (เผลอ) ติดตั้งโปรแกรมที่ผู้อื่นส่งมาให้เด็ดขาด แม้จะเป็นโปรแกรมที่เรารู้จักดีอยู่แล้ว หากต้องการใช้งาน ขอให้ทำการเปิด Play Store ขึ้นมาด้วยตนเอง แล้วพิมพ์ชื่อแอพที่ต้องการลงไปค้นหา ยอมเสียเวลาเพิ่มดีกว่าเสียเงินหมดบัญชี

ขอขอบคุณข้อมูลและรูปภาพจาก คุณ Narun Chanyavilas