สรุปสั้น

นักวิจัยจาก ThreatFabric ค้นพบ TrickMo เวอร์ชันใหม่ที่ได้รับการอัปเกรดครั้งใหญ่ โดยเปลี่ยนมาใช้เครือข่าย TON (The Open Network) Blockchain เป็นช่องทางสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2) แทนการใช้ DNS และ Internet แบบปกติ ทำให้การ takedown เซิร์ฟเวอร์และการบล็อกทราฟฟิกแบบเดิมไม่ได้ผล นอกจากนี้ยังเพิ่มความสามารถ SSH tunnelling และ SOCKS5 proxy ที่เปลี่ยนมือถือ Android ที่ติดมัลแวร์ให้กลายเป็น network pivot เพื่อส่งทราฟฟิกอันตรายผ่านเครือข่ายของเหยื่อ มัลแวร์นี้ถูกตั้งชื่อว่า TrickMo C และกำลังโจมตีผู้ใช้ธนาคารและ cryptocurrency wallet ในฝรั่งเศส อิตาลี และออสเตรีย

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 15 พฤษภาคม พ.ศ. 2569 ว่า TrickMo เป็นมัลแวร์ Android banking trojan ที่มีประวัติยาวนาน แต่เวอร์ชันล่าสุดที่ ThreatFabric สังเกตการณ์ระหว่างเดือนมกราคมถึงกุมภาพันธ์ 2026 ได้รับการพัฒนาอย่างก้าวกระโดด โดยเปลี่ยนโครงสร้างพื้นฐาน C2 มาใช้ .adnl endpoints ที่ส่งผ่าน TON proxy ที่ฝังอยู่ในตัวมัลแวร์ ทำให้ทราฟฟิก C2 กลมกลืนไปกับทราฟฟิก TON ปกติและยากต่อการตรวจจับ ความสามารถที่น่ากังวลที่สุดคือการเปลี่ยนมือถือที่ติดมัลแวร์ให้กลายเป็น SOCKS5 proxy ผ่าน SSH tunnel ทำให้ผู้โจมตีสามารถส่งทราฟฟิกอันตรายผ่านเครือข่ายของเหยื่อได้ราวกับว่ามาจาก IP address ของเหยื่อเอง นอกจากนี้ TrickMo C ยังมีฟีเจอร์ที่ยังไม่เปิดใช้งาน ได้แก่ Pine hooking framework และ NFC permissions ซึ่งบ่งบอกว่าผู้พัฒนากำลังเตรียมขยายความสามารถเพิ่มเติมในอนาคต

วิธีการโจมตี

TrickMo C แพร่กระจายผ่านเว็บไซต์ฟิชชิงและ dropper app ที่ดาวน์โหลด APK มัลแวร์จากเซิร์ฟเวอร์ผู้โจมตีแบบ dynamic loading ตอนรันไทม์ เมื่อติดตั้งสำเร็จ มัลแวร์จะขอสิทธิ์ Accessibility Services เพื่อควบคุมหน้าจอ ขโมยข้อมูล credentials ของแอปธนาคารด้วย overlay attack และดักจับ OTP/2FA codes จากนั้นจึงเปิด SSH tunnel กลับไปยัง C2 ผ่านเครือข่าย TON และเปิด SOCKS5 proxy บนมือถือเหยื่อ ทำให้ผู้โจมตีสามารถใช้เครือข่ายของเหยื่อในการโจมตีเป้าหมายอื่นหรือทำธุรกรรมฉ้อโกงที่ดูเหมือนมาจากมือถือเหยื่อโดยตรง

ผลกระทบต่อไทย

แม้ว่าเป้าหมายหลักในปัจจุบันอยู่ในยุโรป แต่ TrickMo มีประวัติการขยายเป้าหมายไปยังภูมิภาคอื่นอย่างรวดเร็ว ประเทศไทยมีผู้ใช้ mobile banking สูงมากและ Android ครองส่วนแบ่งตลาดมือถือกว่า 70% ทำให้เป็นเป้าหมายที่น่าสนใจ เทคนิค TON C2 ทำให้ระบบป้องกันของธนาคารไทยที่ใช้การบล็อก domain/IP แบบเดิมไม่สามารถป้องกันได้ นอกจากนี้ความสามารถ SOCKS5 proxy ยังอาจทำให้มือถือของคนไทยถูกใช้เป็นเครื่องมือในการโจมตีหรือฟอกเงินโดยไม่รู้ตัว

คำแนะนำ

  • ติดตั้งแอปเฉพาะจาก Google Play Store อย่างเป็นทางการ หลีกเลี่ยงการดาวน์โหลด APK จากลิงก์ที่ได้รับทาง SMS หรืออีเมล
  • ตรวจสอบสิทธิ์ Accessibility Services ที่แอปต่าง ๆ ขอใช้งาน และปิดสิทธิ์ที่ไม่จำเป็น
  • เปิดใช้ Google Play Protect และอัปเดต Android ให้เป็นเวอร์ชันล่าสุด
  • ธนาคารควรพิจารณาระบบตรวจจับ anomaly ที่วิเคราะห์พฤติกรรมการใช้งานแอป ไม่ใช่แค่ IP-based blocking
  • ระวังเว็บไซต์ที่แอบอ้างเป็นธนาคารหรือบริการ crypto และตรวจสอบ URL อย่างละเอียดก่อนกรอกข้อมูล
  • พิจารณาใช้ hardware security key สำหรับ 2FA แทน SMS OTP

แหล่งอ้างอิง