ข่าวจาก ThaiCert เรื่องนี้น่าสนใจ เพราะปกติเวลาเรารับข้อความ OTP (One-Time Password) จะมาในรูปแบบ SMS ซึ่งสงวนสิทธิไม่ให้แอปต่างๆ เข้ามาอ่านค่าข้อความ SMS ได้ แต่นี่พี่เล่นมาอ่าน notification ของ SMS เลยซะงั้น
มัลแวร์ขโมยข้อมูล OTP โดยใช้วิธีหลอกขอสิทธิ์อ่าน notification ปรากฎบนแอปบน Google Play Store ในช่วงต้นเดือนมิถุนายน 2562 (ปัจจุบันถูกนำออกไปแล้ว)
นอกจากนี้ การยืนยันตัวตนแบบ 2 ปัจจัย (2-factor authentication) เช่น ธนาคาร ซึ่งเราคิดว่าปลอดภัย เพราะต้องใช้ OTP ยืนยัน กลับไม่ปลอดภัยเสียแล้ว เพราะว่ามัลแวร์เปลี่ยนไปใช้วิธีใหม่ที่แนบเนียนกว่า โดยขอสิทธิ์ในการอ่าน notification ของระบบมือถือ
ในเมื่อเข้าไปอ่าน OTP จาก SMS ตรงๆ ไม่ได้ ก็แอบไปขออ่านผ่าน Noti ซะเลย (จำได้ไหมว่าเวลามีข้อความ SMS จะมี Noti เด้งบนหน้าจอ) เราเห็นเลข OTP แม้ไม่ได้ปลดล็อคหน้าจอก็ตาม
แอปพลิเคชันมัลแวร์ที่นักวิจัยพบนี้ชื่อ BtcTurk Pro Beta เป็นการตั้งชื่อเลียนแบบแอปจริง โดยมีจุดประสงค์เพื่อหลอกให้ผู้ใช้สับสน แล้วติดตั้งแอปตัวนี้ มัลแวร์หลอกขอสิทธิ์ในการอ่าน notification และเลือกกรองเฉพาะข้อความจากแอปพลิเคชันที่น่าจะใช้เพื่อรับส่ง OTP เช่น แอปพลิเคชัน SMS หรืออีเมล
ความร้ายกาจของมันนอกจากการอ่านข้อความแล้ว ยังแอบปิดหรือลบ notification ออกด้วย เพื่อไม่ให้ผู้ใช้รู้ตัวว่าถูกสวมรอยบัญชีแล้ว
เรื่องนี้อันตรายมาก เพราะจากเดิมที่เราตระหนักในการใช้ OTP เพื่อยืนยันตัวตน กลับกลายเป็นโดนดูด OTP ไปทาง Noti
คำแนะนำของเราคือ ตรวจสอบชื่อแอป ชื่อผู้พัฒนาให้แน่ใจก่อนดาวน์โหลด และระมัดระวังการขอสิทธิ กดยอมรับ เสียเวลาอ่านสักหน่อยจะดีกว่า
หมายเหตุ : แอปนี้ ถูกถอดออกจาก Google Play Store ไปแล้ว
ที่มา thaicert
