สรุปสั้น

นักวิจัยด้านความปลอดภัยค้นพบ Android Banking Trojan ตัวใหม่ชื่อ OverlayPhantom ที่แพร่กระจายผ่านการอัปเดตแอปพลิเคชันปลอมใน 10 ประเทศทั่วโลก

มัลแวร์นี้ใช้ Accessibility Service ของ Android ซึ่งเป็นฟีเจอร์ที่ออกแบบมาช่วยเหลือผู้พิการ เพื่อเข้าควบคุมอุปกรณ์ของเหยื่ออย่างเต็มรูปแบบ

OverlayPhantom แสดงหน้าจอ overlay ปลอมทับแอปธนาคารและกระเป๋าเงินคริปโตที่เหยื่อเปิดใช้งาน เพื่อดักจับข้อมูลล็อกอิน รหัสผ่าน และรหัส OTP

ข้อมูลที่ถูกขโมยครอบคลุมทั้งบัญชีธนาคาร สินทรัพย์คริปโตเคอเรนซี และข้อมูลส่วนตัวอื่น ๆ บนอุปกรณ์

มัลแวร์แพร่กระจายโดยปลอมเป็นการอัปเดตแอปพลิเคชันที่ผู้ใช้คุ้นเคย เช่น แอปธนาคาร แอปช้อปปิ้ง หรือแอปยอดนิยมอื่น ๆ

ภัยคุกคามนี้มีความสำคัญเป็นพิเศษสำหรับภูมิภาคเอเชียตะวันออกเฉียงใต้ ซึ่งการใช้งาน Mobile Banking เติบโตอย่างรวดเร็วและผู้ใช้จำนวนมากพึ่งพา smartphone เป็นช่องทางหลักในการทำธุรกรรม

รายละเอียดข่าว

เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 1 มิถุนายน พ.ศ. 2569 ว่า Android Banking Trojan ชื่อ OverlayPhantom กำลังแพร่กระจายในอย่างน้อย 10 ประเทศ โดยมุ่งเป้าขโมยข้อมูลธนาคารและสินทรัพย์คริปโตเคอเรนซีจากผู้ใช้ Android

มัลแวร์แพร่กระจายผ่านการอัปเดตแอปพลิเคชันปลอมที่แจกจ่ายนอก Google Play Store ผ่านช่องทางต่าง ๆ เช่น ลิงก์ในข้อความ SMS อีเมลฟิชชิง หรือเว็บไซต์ที่ถูกบุกรุก เมื่อผู้ใช้ติดตั้ง มัลแวร์จะขอสิทธิ์ Accessibility Service โดยอ้างว่าจำเป็นสำหรับการทำงานของแอป

OverlayPhantom ใช้ Accessibility Service เพื่อมอนิเตอร์แอปพลิเคชันที่เหยื่อเปิดใช้งาน เมื่อตรวจพบว่าเหยื่อเปิดแอปธนาคารหรือแอปคริปโต มัลแวร์จะแสดงหน้าจอ overlay ปลอมทับแอปจริงทันที ทำให้เหยื่อกรอกข้อมูลล็อกอินลงในหน้าปลอมโดยไม่รู้ตัว

นอกจากการขโมยข้อมูล มัลแวร์ยังสามารถดักจับข้อความ SMS เพื่อขโมยรหัส OTP บล็อกการแจ้งเตือนจากธนาคาร และส่งข้อมูลทั้งหมดกลับไปยังเซิร์ฟเวอร์ของผู้โจมตีแบบ real-time

วิธีการโจมตีและความสามารถ

การแพร่กระจาย:

  • ปลอมเป็นการอัปเดตแอปธนาคาร แอปช้อปปิ้ง หรือแอปยอดนิยม
  • แจกจ่ายผ่านลิงก์ใน SMS ฟิชชิง อีเมล และเว็บไซต์ที่ถูกบุกรุก
  • ไม่ได้อยู่บน Google Play Store — จึงต้องการให้เหยื่อเปิด “Unknown Sources”

การใช้ Accessibility Service:

  • ขอสิทธิ์ Accessibility เพื่อ “อ่านหน้าจอ” และ “ดำเนินการในนามผู้ใช้”
  • ตรวจจับแอปธนาคารที่เปิดใช้งานและแสดง overlay ทันที
  • บล็อกการกดปุ่ม Back เพื่อไม่ให้เหยื่อหนีออกจากหน้า overlay

ข้อมูลที่ถูกขโมย:

  • ข้อมูลล็อกอินบัญชีธนาคาร (username, password)
  • รหัส OTP จาก SMS และ authenticator apps
  • ข้อมูล seed phrase และ private key ของกระเป๋าคริปโต
  • รายชื่อผู้ติดต่อและข้อมูลส่วนตัวอื่น ๆ

ผลกระทบต่อไทย

ภัยคุกคาม Android Banking Trojan มีความเกี่ยวข้องโดยตรงกับประเทศไทย เนื่องจากการใช้งาน Mobile Banking เติบโตอย่างรวดเร็ว โดยธนาคารหลักทุกแห่งในไทยมีแอปพลิเคชันที่ผู้ใช้ใช้ทำธุรกรรมประจำวัน

ผู้ใช้ Android ในไทยที่ดาวน์โหลดแอปจากแหล่งภายนอก Play Store มีความเสี่ยงสูงสุด โดยเฉพาะแอปปลอมที่อ้างว่าเป็นเวอร์ชันที่ดีกว่าหรือแอปที่ไม่มีในไทย

ผู้ใช้คริปโตเคอเรนซีในไทยซึ่งมีจำนวนเพิ่มขึ้นอย่างต่อเนื่องก็เป็นเป้าหมายสำคัญ เนื่องจาก OverlayPhantom มุ่งเป้าขโมยสินทรัพย์คริปโตด้วย

ธนาคารและผู้ให้บริการ Mobile Banking ในไทยควรแจ้งเตือนลูกค้าถึงความเสี่ยงนี้และแนะนำให้ดาวน์โหลดแอปจาก Play Store อย่างเป็นทางการเท่านั้น

คำแนะนำ

  1. ดาวน์โหลดแอปจาก Google Play Store เท่านั้น — ไม่ติดตั้งแอปจากแหล่งภายนอกโดยเด็ดขาด โดยเฉพาะแอปธนาคาร
  2. ตรวจสอบสิทธิ์ Accessibility — ไปที่ Settings → Accessibility → Downloaded Apps แล้วตรวจว่ามีแอปแปลกปลอมได้รับสิทธิ์นี้หรือไม่
  3. ระวังการขอสิทธิ์ Accessibility — แอปที่ถูกกฎหมายส่วนใหญ่ไม่จำเป็นต้องขอสิทธิ์ Accessibility หากแอปธนาคารปลอมขอสิทธิ์นี้ให้ปฏิเสธทันที
  4. เปิดใช้ Google Play Protect — ช่วยสแกนและตรวจจับแอปอันตรายบนอุปกรณ์
  5. ใช้ SMS 2FA อย่างระมัดระวัง — หากพบพฤติกรรมผิดปกติบนสมาร์ตโฟน ให้ติดต่อธนาคารและ block บัตรทันที

แหล่งอ้างอิง