เงินถูกดูดหายหมดบัญชี จริงๆแล้วเกิดอะไร? ยังไง?

ภาพจาก https://www.amarintv.com/news/detail/163652

ช่วงนี้มีผู้เสียหายจำนวนมากที่ถูกดูดเงินไปหมดบัญชีธนาคารและเป็นข่าวดัง เรื่องนี้ไม่ได้เพิ่งเกิดขึ้นเป็นครั้งแรก แต่มีการแชร์และข้อมูลที่ถูกบ้างไม่ถูกบ้าง วันนี้เลยจะขอมาแชร์ว่าจริง ๆ แล้วมันมีการทำงานยังไงกันแน่ ทำไมเงินเราถึงหายไปได้ อันที่จริงมีเหตุการณ์ที่อาจเชื่อได้ว่าเป็นแก๊งที่เกี่ยวข้องกันเกิดขึ้นมาตั้งแต่ช่วงกลางปี 2564 แล้ว แบ่งออกมาได้เป็นทั้งหมด 3 ยุค มีการพัฒนาตั้งแต่ยุคแรกจนถึงปัจจุบัน

ยุคที่ 1 ยุคเริ่มต้น

เริ่มจากการมีแก๊ง Call Center โทรมาให้เหยื่อทำการติดตั้งโปรแกรมจำพวก TeamViewer เป็นยุคแรกของการหลอกควบคุมเครื่องอย่างแท้จริง โจรจะเข้ามาทำการใช้วิธีทางจิตวิทยา (Social Engineer) เพื่อให้เหยื่อเกิดความกลัว และเปิดเผยข้อมูล จนโจรสามารถโอนเงินออกจากบัญชีลูกค้าได้ในที่สุด

ภาพจาก https://cyber.rtaf.mi.th/publish/page.aspx?id=947

วิธีนี้ใช้ได้เพียงไม่นาน มีจุดอ่อนค่อนข้างเยอะ ลูกค้ามองเห็นหน้าจอว่าโจรทำอะไร สามารถหยุดการกระทำของโจรได้ และโปรแกรมประเภท TeamViewer ก็เป็นที่แพร่หลาย ทำให้หลอกคนได้ยาก

ยุคที่ 2 ยุคเติบโต

พัฒนาต่อมาเป็นยุคที่ 2 มีแอพเป็นของตนเอง โดยกระบวนการยังคล้ายเดิมอยู่ แต่ครั้งนี้จะเป็นแอพที่โจรพัฒนาขึ้นมาเอง รวมถึงปิดจุดอ่อนในยุคที่ 1 นอกจากนี้ตัวแอพมีลักษณะหน้าตาดูน่าเชื่อถือคล้ายแอพจริง มีหน้าตาหลายประเภทแล้วแต่ว่าในเวลานั้นกำลังหลอกเหยื่อด้วยเรื่องอะไร เช่น DSI แจ้งว่าเราทำผิดกฎหมาย, กรมสรรพากร แจ้งว่าเราเป็นหนี้ค้างชำระภาษี หรือ สายการบินชื่อดัง แจ้งว่าเราถูกรางวัลได้ตั๋วเครื่องบินฟรี

ภาพจาก https://www.facebook.com/phuketinfocenter/photos/a.109486044039914/620071462981367/

โดยหน้าตาของแอพทั้งหมดจะคล้ายกัน ต่างกันแค่ภาพและสีที่ใช้ประกอบให้หลงเชื่อเท่านั้น ลองดูดังตัวอย่างต่อไปนี้

ภาพจากแอพ Revenue (โจร)
ภาพจากแอพ DSI (โจร)
ภาพจากแอพ Lion Air (โจร)

มีข้อสังเกตได้แก่

  1. แอพจะมีการให้ตั้ง PIN ถึง 2 ครั้ง โดยข้อมูลนี้จะถูกโจรนำไปลองใช้ในการใส่เป็น PIN ขณะเข้าแอพธนาคารต่างๆ
  2. หาก PIN ที่พิมพ์ในแอพใช้งานไม่ได้ บางกรณีโจรจะถามลูกค้าตรง ๆ เช่น PIN ที่ใส่มาเป็นอันเดียวกับธนาคารหรือไม่ หากไม่ใช่ให้บอก PIN ธนาคาร เพื่อทำการตรวจสอบบัญชีให้สำเร็จ
  3. ถ้ายังไม่ได้ PIN โจรอาจบอกให้ลูกค้าโอนเงินจำนวนเล็ก ๆ ระหว่างบัญชีของตนเอง ระหว่างนี้โจรจะสังเกตตัวเลขที่กระพริบเวลาเหยื่อกด PIN บนหน้าจอ หรือในบางครั้งก็อาศัยจังหวะหลังจากที่เหยื่อใส่ PIN แล้ว แต่ยังไม่ได้ปิดแอพธนาคาร ทำรายการโอนเงินต่อเลย
  4. หน้าจอสุดท้ายจะเป็นการ Permission 3 อย่าง
    - ขอทำตัวเป็นแอพสำหรับผู้พิการ (Accessibility Service) เพื่อให้ตัวแอพสามารถทำงานได้ตลอดเวลา 24 ชั่วโมง ถึงแม้เราจะ kill app ทิ้งไปแล้วก็ตาม และ สามารถแตะหน้าจอในตำแหน่งใด ๆ แทนผู้ใช้งานได้
    -
    ขอทำการถ่ายทอดหน้าจอ (Screen Casting) เพื่อให้แอพสามารถคัดลอกหน้าจอแล้วส่งภาพวีดีโอของหน้าจอเราขึ้นไปยังระบบของโจร ดังนั้นโจรจะสามารถเห็นหน้าจอเราได้ตลอดเวลาไม่ว่าเราจะทำอะไรอยู่ที่หน้าไหนก็ตาม!
    - ขอเขียนภาพทับโปรแกรมอื่น (System Alert Screen Overlay) เพื่อให้แอพสามารถเขียนภาพใด ๆ ทับบนหน้าจอโทรศัพท์แบบเต็มจอ ผู้ใช้จะมองไม่เห็นว่าโจรกำลังทำอะไรอยู่บนเครื่องของตน และไม่สามารถแตะปุ่มเพื่อปิดเครื่องบนหน้าจอ หรือสลับแอพได้เลย
  5. หลังจากที่เหยื่อถูกข่มขู่และหลอกจนหลงเชื่อ เมื่อมีการให้ Permission ของผู้พิการไปแล้ว ตัวแอพจะแอบไปกด Allow การถ่ายทอดหน้าจอเองโดยอัตโนมัติ เพื่อไม่ให้เหยื่อรู้ตัวว่ากำลังถูกแอบถ่ายทอดหน้าจอ
  6. หลังจาก Allow Permission ครบทั้ง 3 ข้อแล้ว หน้าจอโทรศัพท์จะถูกล๊อคทันที เพื่อให้โจรเข้ามาควบคุมและทำรายการกับแอพธนาคารได้โดยเหยื่อไม่รู้ตัว ขณะเดียวกันโจรจะบอกเหยื่อให้วางโทรศัพท์นิ่ง ๆ ห้ามแตะต้อง
ตัวอย่างหน้าจอระหว่างกด Allow Permission ทั้ง 3 ข้อ จนกระทั่งถูกล๊อค
คนร้ายสามารถเห็นหน้าจอได้ตลอดเวลาแม้เราดับหน้าจอหรือออกแอพทั้งหมด
ระบบที่คาดว่าคนร้ายใช้ในการควบคุมโทรศัพท์ของเหยื่อ

วิธีนี้ดีขึ้นกว่าวิธีในยุคแรกแต่ก็ยังมีจุดอ่อน ตัวโปรแกรมสามารถถูกตรวจเจอได้ง่าย ผู้ใช้ที่พอมีความรู้ก็สามารถลบหรือปิดสิทธิของโปรแกรมได้ นอกจากนี้โจรจะมีเวลาอยู่กับเหยื่อประมาณ 10–30 นาที ระหว่างนั้นโทรศัพท์จะใช้งานไม่ได้ วิธีนี้อาศัยความกลัวและความตื่นตระหนกของเหยื่อเป็นหลัก เพื่อให้เหยื่อทำตามขั้นตอนต่างๆ

ยุคที่ 3 ยุคเฟื่องฟู (ปัจจุบัน)

หลังจากแอพโจรพัฒนามา 2 ยุค ก็ได้มาถึงยุคปัจจุบันซึ่งแอพมีความซับซ้อนเพิ่มขึ้นอีก และอาจยังมีเหยื่ออีกหลายรายที่ยังไม่รู้ตัวว่ากำลังเป็นเหยื่อของแก๊งเหล่านี้

เรื่องราวของยุคปัจจุบันแตกต่างไปจากสมัยก่อน โจรเลิกใช้ความหวาดกลัวหรือตื่นตระหนกเพื่อหลอกล่อเหยื่อ แต่เปลี่ยนมาหลอกให้เหยื่อเต็มใจในการติดตั้งโปรแกรมแทน น่าจะเพราะว่าโอกาสที่เหยื่อจะไปขอความช่วยเหลือผู้อื่นมีน้อยกว่า นอกจากนั้นตัวโปรแกรมก็มีความสามารถในการซ่อนตัวเก่งมากขึ้นอีกด้วย

แอพใหม่ของโจรในครั้งนี้พัฒนาต่อยอดมาจากในยุคก่อนหน้า แต่ปลอมตัวเป็นโปรแกรมยอดนิยมทั่วไป เช่น โปรแกรมดูไลฟ์ โปรแกรมหาคู่ โปรแกรมดูภาพสยิว หรือโปรแกรมแชทยอดนิยมก็ตาม ถ้ายกตัวอย่างดัง ๆ และมีเหยื่อหลายรายคือ Snapchat และ Bumble

ตัวอย่างแอพที่ถูกนำมาปลอมตัวเป็นแอพโจร

ในครั้งนี้โจรอาจมาในคราบของแม่สาวน้อยที่พบกันตาม LINE แล้วหลอกคุยกับเหยื่อจนตายใจและชักชวนไปแลกเปลี่ยนรูปภาพหรือคลิปกันในแอพพิเศษ

แชทเพื่อให้เหยื่อหลงเชื่อเข้าไปติดตั้งแอพโจร

ลองดูตัวอย่างการคุยจริงได้ที่ https://www.facebook.com/DramaAdd/posts/pfbid02pkS6XK4JjAbmQ9iFFC711cmA16aM2AMRqEECykQScoCVo4ThhXYSbmTpoDRW72Xnl

แต่หลังทำการติดตั้งไปแล้ว ตัวแอพจะขอใช้สิทธิเป็นแอพสำหรับผู้พิการเช่นเดิม หากให้สิทธิแล้วจะแสดงเหมือนมีโฆษณามาให้เราดู แต่ความจริงกำลังซ่อนตัวเองทำให้หาไม่เจอ และแสดงข้อความอ้างว่า

หน้าจอขณะทำการติดตั้งแอพโจร ยุค 3
หลังติดตั้งแอพโจรจะทำการขอ Accessibility Permission เช่นเคย

ในความเป็นจริงแอพได้ติดตั้งเรียบร้อยแล้ว และเปิดช่องให้โจรสามารถเชื่อมต่อเข้ามาดูและควบคุมหน้าจอโทรศัพท์เราเมื่อใดก็ได้ หลังจากที่เหยื่อติดตั้งไปแล้ว โจรมักจะทิ้งให้เหยื่อตายใจและใช้เวลาสักพักหนึ่งในการสังเกตพฤติกรรม เช่น ใช้ธนาคารใดบ้าง มีเงินในบัญชีแต่ละธนาคารเท่าไร และจดจำรหัส PIN จากที่เหยื่อกดบนหน้าจอโทรศัพท์

โจรจะแอบดูหน้าจอเหยื่อตลอดเวลา ผ่านไป 2–3 สัปดาห์ จนเหยื่อลืม เมื่อสบโอกาสโจรจะทำการยกเลิกการล๊อคหน้าจอ อีกทั้งสามารถปิดแสงหน้าจอเพื่อไม่ให้เหยื่อรู้ตัว แล้วเชื่อมต่อเข้ามาส่งคำสั่งที่โทรศัพท์ของเหยื่อ ทำการโอนเงินออกจากบัญชีไป เหลือเพียงโทรศัพท์เปล่า ๆ ให้เหยื่องงว่าเหตุการณ์เกิดขึ้นได้อย่างไร

หนำซ้ำร้ายกว่านั้น แอพโจรตัวนี้หลังจากติดตั้งแล้ว ไม่สามารถลบออกได้ เมื่อเราพยายามลบแอพมันจะปิดหน้าจอ Setting ทิ้งทันที และถ้าเราพยายาม Factory Reset โทรศัพท์ แอพโจรก็จะถอยออกจากหน้านั้นเองโดยอัตโนมัติอีกด้วย!

ความพยายามในการลบแอพโจรที่ล้มเหลว ไม่สามารถกดเข้าไปถึงปุ่ม Uninstall ได้
แม้จะพยายาม Factory Reset ก็ทำไม่ได้

ถ้าลองดูเคสของผู้เสียหายในข่าวก็จะพบว่ามีโปรแกรมตัวเดียวกันนี้ติดตั้งอยู่และไม่สามารถปิดได้ https://www.facebook.com/sarmpok/posts/pfbid0CDycMBcFeTwidV5imZTmk8FStLRQtrpxDpj13JkwVc4zPHNVBi5ZczmCjP1e3x9Ml

เราจะแก้ไขได้อย่างไร

แอพโจรทั้ง 3 ยุคมีวิธีการทำงานคล้ายกัน แต่สำหรับยุคล่าสุดวิธีการตรวจสอบยังค่อนข้างทำได้ยาก เพราะ Android แต่ละรุ่นแตกต่างกันไป ผู้เขียนแนะนำให้ท่านลองเข้าไปในเมนูผู้พิการ หรือ Accessibility แล้วตรวจสอบในหมวด Downloaded apps ดูว่ามีรายการแอพใดแสดงขึ้นมาบ้างหรือไม่ ถ้ามีและเปิด On อยู่ โดยที่เราไม่รู้เหตุผล ควรรีบปิดหรือถอนการติดตั้ง

เมื่อพบว่ามีแอพที่มีการใช้งานโหมด Accessibility โดยไม่รู้เหตุผลควรรีบปิดหรือถอนการติดตั้ง

แต่หากท่านโชคร้ายกำลังเป็นเหยื่อของแอพโจรในยุคที่ 3 ซึ่งไม่สามารถปิดหรือถอนการติดตั้งได้ ผู้เขียนมีคำแนะนำมาให้ 2 ทาง ดังนี้

  1. หากท่านเป็นผู้ใช้งานปกติ ขอให้เปิด Airplane Mode โดยเร็วที่สุด เพื่อตัดสัญญาณไม่ให้โทรศัพท์สามารถเชื่อมต่อกับ Internet ได้ (รวมถึงถอดซิมและปิด Wifi หากจำเป็น) เพื่อเป็นการสกัดกั้นไม่ให้โจรสามารถเชื่อมต่อเข้ามาได้ จากนั้นนำโทรศัพท์เข้าติดต่อกับศูนย์บริการอย่างเป็นทางการของโทรศัพท์ที่ท่านใช้งานอยู่ครับ
  2. หากท่านเป็นนักพัฒนาหรือมีความรู้ทางเทคนิค อาจต่อสาย USB เข้ากับคอมพิวเตอร์ และเปิด Android Debug Mode จากนั้นใช้คำสั่งดังต่อไปนี้เพื่อถอนการติดตั้ง

แล้ววิธีป้องกันล่ะ

แอพโจรทั้ง 3 ยุคมีวิธีป้องกันเดียวกันและง่ายมากครับ คือห้าม (เผลอ) ติดตั้งโปรแกรมที่ผู้อื่นส่งมาให้เด็ดขาด แม้จะเป็นโปรแกรมที่เรารู้จักดีอยู่แล้ว หากต้องการใช้งาน ขอให้ทำการเปิด Play Store ขึ้นมาด้วยตนเอง แล้วพิมพ์ชื่อแอพที่ต้องการลงไปค้นหา ยอมเสียเวลาเพิ่มสัก 1 นาที ดีกว่าเสียเงินหมดบัญชีนะครับ

สุดท้ายนี้ขอให้ทุกท่านอยู่รอดปลอดภัยจากแก๊งหลอกดูดเงินเหล่านี้ไปจนตลอดทุกยุคสมัยครับ … สาธุ

ข้อมูลเพิ่มเติมอื่น ๆ ทางเทคนิค

แอพโจรตัวใหม่นี้เป็นการประกอบร่างของโปรแกรมสำเร็จรูปหลายส่วน เช่น

  • ieasyclick โปรแกรมสำเร็จรูปที่ใช้ในการทำ click automation โดยปกติใช้สำหรับเขียนโปรแกรมให้โทรศัพท์ทำงานเองได้แทนการใช้มนุษย์
  • jiagu โปรแกรมสำเร็จรูปที่ใช้ในการซ่อนเนื้อหาการทำงานของโปรแกรมจริงๆ (packer) ทำให้การวิเคราะห์พฤติกรรมการทำงานของแอพโจรเป็นไปได้ยาก
ส่วนของหน้าจอภายในแอพโจร ยุคที่ 3

นอกจากนี้แอพโจรยังมีการสื่อสารออก Internet และมีการติดต่อไปยัง C&C อีกด้วย

หน้าจอที่คาดว่าเป็นระบบควบคุมการทำงานของโจร
ตัวอย่างการเชื่อมต่อออก Internet ของแอพโจรใน ยุคที่ 3

--

--

IT Security Researcher || CEH OSCP CISSP

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store