"Dark Herring" มัลแวร์หลอกขโมยเงินตัวใหม่ เหยื่อเป็นผู้ใช้ Android มากกว่า 105 ล้านราย

เมื่อโลกก้าวเข้าสู่ยุคดิจิทัล บทบาทของอาชญากรรมทางไซเบอร์ก็พุ่งสูงขึ้นอย่างเห็นได้ชัด ช่วงนี้หลายคนอาจจะได้อ่านข่าวเกี่ยวกับมัลแวร์ และ กลโกงของแฮกเกอร์จากทาง Thaiware อยู่บ่อย ๆ หวังว่าทุกคนจะไม่เบื่อไปเสียก่อน เพราะล่าสุดกลโกงสมัครบริการ SMS แบบพรีเมียมที่เคยพบเห็นระบาดในโทรศัพท์ Android ก่อนหน้านี้ มันกลับมาอีกแล้วในนามของ "Dark Herring"

Dark Herring คือ สแกม (Scam) ที่มีลักษณะของการหลอกให้ผู้ใช้งานสมัครบริการ SMS แบบพรีเมียม และทำให้ผู้ใช้ต้องเสียค่าใช้จ่ายเป็นรายเดือนโดยไม่รู้ตัว ซึ่งจะเรียกเก็บประมาณ 15 USD หรือประมาณ 500 บาท และที่บอกว่ามันอันตราย เพราะปกติค่าใช้จ่ายผ่านแอปพลิเคชันหรือ in-app purchases มักจะต้องมีการผูกบัญชีธนาคาร หรือ บัตรเครดิต ไม่ก็บริการชำระเงินเอาไว้ แต่ Scam ตัวนี้กลับเรียกเก็บเงินผ่าน Direct Carrier Billing (DCB) หรือบิลชำระเงินรวมกับค่าบริการโทรศัพท์ จึงทำให้กว่าที่เหยื่อรู้ตัว ก็โดนหลอกเอาค่าบริการไปแน่ ๆ 1 เดือน 

ผู้เชี่ยวชาญจาก Zimperium หนึ่งในสมาชิกพันธมิตร Google App Defense Alliance ที่เป็นผู้คนพบระบุว่า Scam ตัวนี้มีการฝังตัวอยู่ในแอปพลิเคชันกว่า 470 ตัว บน Google Play Store โดยรวมแล้วแอปพลิเคชันเหล่านี้มียอดผู้ใช้ดาวน์โหลดไปแล้วถึง 105 ล้านคน รวม 70 ประเทศ (มีของไทยด้วย) และอาจจะมีเพิ่มอีกเรื่อย ๆ ซึ่งล่าสุดทาง Google กำลังเร่งลบแอปพลิเคชันเหล่านั้นออกจาก Google Play Store แล้ว และกำลังเร่งตัวสอบต่อไปว่า Scam ตัวนี้ได้อยู่บนแอปพลิเคชันอื่น ๆ อีกด้วยหรือเปล่า

Dark Herring ทำงานอย่างไร ?

ที่จริงต้องบอกว่าแอปพลิเคชันเหล่านั้นไม่ได้มีโค้ดอันตรายอยู่ก่อนที่ผู้ใช้จะดาวน์โหลด เลยทำให้มันสามารถหลบเลี่ยงการตรวจจับของ Google Play ไปได้อย่างง่ายดาย แต่ตัวแอปจะมีสตริง JavaScript ที่เข้ารหัสแบบ Hard-coded และชี้ไปยังเซิร์ฟเวอร์ host ที่กำหนดค่าโดย Proxy ซึ่งเซิฟเวอร์ก็จะตอบสนองและเพิ่มโค้ดใหม่ลงไปบนเครื่องของเหยื่อหลังจากติดตั้งแอปพลิเคชัน

จากนั้น scripts ใหม่ที่เพิ่มมาก็จะเริ่มดึงรายละเอียดภาษาและประเทศที่ผู้ใช้งานตั้งค่าบนมือถือ และค้นหาว่าแพลตฟอร์มผู้ให้บริการเครือข่ายในภูมิภาคที่เหยื่อใช้เป็นใคร (เช่น TRUE, AIS, DTAC) เพื่อที่จะเอาไว้เรียกเก็บบิลค่าบริการผ่าน Direct Carrier Billing (DCB) 

โดยเมื่อเตรียมการข้อมูลพร้อม แฮกเกอร์ก็จะปลอมแปลงหน้า WebView ที่สร้างขึ้นมาใหม่โดยมีภาษาและประเทศที่ตรงกับผู้ใช้ และมีการให้กรอกหมายเลขโทรศัพท์ จากนั้นถ้าเหยื่อทำตามก็จะถือว่าเป็นการสมัครค่าบริการโดยอัตโนมัติ ซึ่งเหยื่อก็จะไม่รู้ตัวจนกว่าบิลเรียกเก็บค่าโทรศัพท์จะส่งมาถึงบ้านนั่นเอง

หน้าเว็บที่จะโชว์ขึ้นมาให้เหยื่อใส่เบอร์โทรศัพท์

โดยแอปพลิเคชัน 470 ตัวที่พบมากส่วนใหญ่อยู่ในประเภทของ "Entertainment" ตามมาด้วยประเภทแอปถ่ายรูป เกม และอื่น ๆ โดยในบางประเทศที่ไม่มีกฎหมายควบคุมการชำระค่าบริการแบบ DCB ส่วนมากประเทศเหล่านั้นจะโดนเป็นพิเศษ เช่น India, Pakistan, Saudi Arabia, Egypt, Greece, Finland, Sweden, Norway, Bulgaria, Iraq, และ Tunisia.

แผนที่แสดงความเข้มข้นพื้นที่เสี่ยงถูก Dark Herring เล่นงาน

หากใครกังวลว่าจะตกเป็นเหยื่อสามารถตรวจสอบรายชื่อที่มี Dark Herring ได้ที่นี่ 
https://github.com/Zimperium/DarkHerring/blob/master/packagenames.md

แอปยอดนิยมที่ถูกดาวน์โหลดเยอะเป็นพิเศษ

• Smashex
• Upgradem
• Stream HD
• Vidly Vibe
• Cast It
• My Translator Pro
• New Mobile Games
• StreamCast Pro
• Ultra Stream
• Photograph Labs Pro
• VideoProj Lab
• Drive Simulator
• Speedy Cars – Final Lap
• Football Legends
• Football HERO 2021
• Grand Mafia Auto
• Offroad Jeep Simulator
• Smashex Pro
• Racing City
• Connectool
• City Bus Simulator 2