กระแส

ThaiCERT เตือนภัย มัลแวร์ Android ตัวใหม่ขโมยข้อมูลบัตรเครดิตผ่านการโจมตีแบบ NFC relay

กองบรรณาธิการ TCIJ 1 พ.ค. 2568 | อ่านแล้ว 13 ครั้ง

ThaiCERT เตือนภัย มัลแวร์ Android ตัวใหม่ขโมยข้อมูลบัตรเครดิตผ่านการโจมตีแบบ NFC relay

ThaiCERT เตือนภัย พบมัลแวร์ "SuperCard X" โดย Cleafy ซึ่งเป็นมัลแวร์แบบบริการ (MaaS) โจมตีอุปกรณ์ Android ด้วยเทคนิค NFC relay attack เพื่อขโมยข้อมูลบัตรเครดิต มัลแวร์นี้เชื่อมโยงกับกลุ่มแฮกเกอร์จีน หลอกให้เหยื่อติดตั้งแอปปลอม "Reader" ที่อ่านข้อมูลชิปบัตร ซึ่งผู้โจมตีจะใช้แอป "Tapper" จำลองบัตรไปใช้จ่ายหรือถอนเงิน

ช่วงเดือน เม.ย. 2568 ThaiCERT รายงานว่า บริษัทด้านความปลอดภัย Cleafy เปิดเผยภัยคุกคามใหม่ "SuperCard X" ซึ่งเป็นมัลแวร์รูปแบบบริการ (MaaS) ที่โจมตีอุปกรณ์ Android โดยใช้เทคนิค NFC relay attack เพื่อขโมยข้อมูลบัตรเครดิตจากเหยื่อ และนำไปใช้ทำธุรกรรมที่ตู้ ATM หรือจุดบริการชำระเงินในร้านค้า มัลแวร์นี้มีความเชื่อมโยงกับกลุ่มแฮกเกอร์ที่ใช้ภาษาจีน และพบรหัสโปรแกรมคล้ายคลึงกับโครงการโอเพนซอร์ส NFCGate รวมถึงมัลแวร์ NGate ที่เคยโจมตีในยุโรปเมื่อปีก่อน แพลตฟอร์มนี้ถูกโฆษณาผ่านช่อง Telegram ที่พร้อมให้บริการลูกค้าแบบเต็มรูปแบบ โดยพบการโจมตีในอิตาลีด้วย และมีตัวอย่างมัลแวร์หลายรุ่นที่ปรับแต่งตามความต้องการเฉพาะภูมิภาค

รูปแบบการโจมตีเริ่มต้นจากการส่ง SMS หรือข้อความ WhatsApp ปลอมที่แอบอ้างว่าเป็นธนาคาร แจ้งว่ามีธุรกรรมผิดปกติและขอให้เหยื่อติดต่อกลับ เมื่อเหยื่อโทรไป จะมีมิจฉาชีพอ้างตัวว่าเป็นเจ้าหน้าที่จากธนาคาร และหลอกให้ยืนยันหมายเลขบัตรและรหัส PIN จากนั้นหลอกให้เหยื่อติดตั้งแอปปลอมชื่อ Reader ซึ่งแฝงมัลแวร์ SuperCard X ไว้ ภายหลังจากที่เหยื่อติดตั้งแอปและนำบัตรแตะโทรศัพท์เพื่อ ยืนยันตัวตน แอปจะอ่านข้อมูลชิปบัตรและส่งต่อให้ผู้โจมตี ผู้โจมตีจะใช้แอปอีกตัวชื่อ Tapper บนอุปกรณ์ Android เพื่อจำลองบัตรของเหยื่อและนำไปใช้จ่ายชำระค่าสินค้าหรือทำการถอนเงินได้

มัลแวร์ SuperCard X มีความสามารถในการหลบเลี่ยงการตรวจจับจากเครื่องมือป้องกันมัลแวร์ โดยไม่ร้องขอสิทธิ์เข้าถึงที่ดูน่าสงสัยและไม่ใช้เทคนิคโจมตีเชิงรุกเช่นการซ้อนหน้าจอ (overlay) จึงไม่ถูกตรวจจับโดยระบบป้องกันไวรัสในปัจจุบัน นอกจากนี้ยังใช้การจำลองบัตรแบบ ATR (Answer to Reset) เพื่อให้บัตรปลอมดูเหมือนของจริง และใช้ระบบ mutual TLS (mTLS) ในการเข้ารหัสการสื่อสารระหว่างเซิร์ฟเวอร์ควบคุม (C2) ซึ่งป้องกันไม่ให้เจ้าหน้าที่หรือผู้วิจัยวิเคราะห์ข้อมูลได้ ทั้งนี้ Google ยืนยันว่าขณะนี้ยังไม่พบแอปที่มีมัลแวร์ SuperCard X บน Google Play และผู้ใช้ Android ที่เปิดใช้งาน Google Play Protect จะได้รับการป้องกันโดยอัตโนมัติ

ร่วมเป็นแฟนเพจเฟสบุ๊คกับ TCIJ ออนไลน์
www.facebook.com/tcijthai

ป้ายคำ

ความปลอดภัยไซเบอร์  ThaiCERT  

Like this article:
Social share: