สรุปสั้น
นักวิจัยด้านความปลอดภัยค้นพบ Android Banking Trojan ตัวใหม่ชื่อ OverlayPhantom ที่แพร่กระจายผ่านการอัปเดตแอปพลิเคชันปลอมใน 10 ประเทศทั่วโลก
มัลแวร์นี้ใช้ Accessibility Service ของ Android ซึ่งเป็นฟีเจอร์ที่ออกแบบมาช่วยเหลือผู้พิการ เพื่อเข้าควบคุมอุปกรณ์ของเหยื่ออย่างเต็มรูปแบบ
OverlayPhantom แสดงหน้าจอ overlay ปลอมทับแอปธนาคารและกระเป๋าเงินคริปโตที่เหยื่อเปิดใช้งาน เพื่อดักจับข้อมูลล็อกอิน รหัสผ่าน และรหัส OTP
ข้อมูลที่ถูกขโมยครอบคลุมทั้งบัญชีธนาคาร สินทรัพย์คริปโตเคอเรนซี และข้อมูลส่วนตัวอื่น ๆ บนอุปกรณ์
มัลแวร์แพร่กระจายโดยปลอมเป็นการอัปเดตแอปพลิเคชันที่ผู้ใช้คุ้นเคย เช่น แอปธนาคาร แอปช้อปปิ้ง หรือแอปยอดนิยมอื่น ๆ
ภัยคุกคามนี้มีความสำคัญเป็นพิเศษสำหรับภูมิภาคเอเชียตะวันออกเฉียงใต้ ซึ่งการใช้งาน Mobile Banking เติบโตอย่างรวดเร็วและผู้ใช้จำนวนมากพึ่งพา smartphone เป็นช่องทางหลักในการทำธุรกรรม
รายละเอียดข่าว
เว็บไซต์ Cyber Security News รายงานเมื่อวันที่ 1 มิถุนายน พ.ศ. 2569 ว่า Android Banking Trojan ชื่อ OverlayPhantom กำลังแพร่กระจายในอย่างน้อย 10 ประเทศ โดยมุ่งเป้าขโมยข้อมูลธนาคารและสินทรัพย์คริปโตเคอเรนซีจากผู้ใช้ Android
มัลแวร์แพร่กระจายผ่านการอัปเดตแอปพลิเคชันปลอมที่แจกจ่ายนอก Google Play Store ผ่านช่องทางต่าง ๆ เช่น ลิงก์ในข้อความ SMS อีเมลฟิชชิง หรือเว็บไซต์ที่ถูกบุกรุก เมื่อผู้ใช้ติดตั้ง มัลแวร์จะขอสิทธิ์ Accessibility Service โดยอ้างว่าจำเป็นสำหรับการทำงานของแอป
OverlayPhantom ใช้ Accessibility Service เพื่อมอนิเตอร์แอปพลิเคชันที่เหยื่อเปิดใช้งาน เมื่อตรวจพบว่าเหยื่อเปิดแอปธนาคารหรือแอปคริปโต มัลแวร์จะแสดงหน้าจอ overlay ปลอมทับแอปจริงทันที ทำให้เหยื่อกรอกข้อมูลล็อกอินลงในหน้าปลอมโดยไม่รู้ตัว
นอกจากการขโมยข้อมูล มัลแวร์ยังสามารถดักจับข้อความ SMS เพื่อขโมยรหัส OTP บล็อกการแจ้งเตือนจากธนาคาร และส่งข้อมูลทั้งหมดกลับไปยังเซิร์ฟเวอร์ของผู้โจมตีแบบ real-time
วิธีการโจมตีและความสามารถ
การแพร่กระจาย:
- ปลอมเป็นการอัปเดตแอปธนาคาร แอปช้อปปิ้ง หรือแอปยอดนิยม
- แจกจ่ายผ่านลิงก์ใน SMS ฟิชชิง อีเมล และเว็บไซต์ที่ถูกบุกรุก
- ไม่ได้อยู่บน Google Play Store — จึงต้องการให้เหยื่อเปิด “Unknown Sources”
การใช้ Accessibility Service:
- ขอสิทธิ์ Accessibility เพื่อ “อ่านหน้าจอ” และ “ดำเนินการในนามผู้ใช้”
- ตรวจจับแอปธนาคารที่เปิดใช้งานและแสดง overlay ทันที
- บล็อกการกดปุ่ม Back เพื่อไม่ให้เหยื่อหนีออกจากหน้า overlay
ข้อมูลที่ถูกขโมย:
- ข้อมูลล็อกอินบัญชีธนาคาร (username, password)
- รหัส OTP จาก SMS และ authenticator apps
- ข้อมูล seed phrase และ private key ของกระเป๋าคริปโต
- รายชื่อผู้ติดต่อและข้อมูลส่วนตัวอื่น ๆ
ผลกระทบต่อไทย
ภัยคุกคาม Android Banking Trojan มีความเกี่ยวข้องโดยตรงกับประเทศไทย เนื่องจากการใช้งาน Mobile Banking เติบโตอย่างรวดเร็ว โดยธนาคารหลักทุกแห่งในไทยมีแอปพลิเคชันที่ผู้ใช้ใช้ทำธุรกรรมประจำวัน
ผู้ใช้ Android ในไทยที่ดาวน์โหลดแอปจากแหล่งภายนอก Play Store มีความเสี่ยงสูงสุด โดยเฉพาะแอปปลอมที่อ้างว่าเป็นเวอร์ชันที่ดีกว่าหรือแอปที่ไม่มีในไทย
ผู้ใช้คริปโตเคอเรนซีในไทยซึ่งมีจำนวนเพิ่มขึ้นอย่างต่อเนื่องก็เป็นเป้าหมายสำคัญ เนื่องจาก OverlayPhantom มุ่งเป้าขโมยสินทรัพย์คริปโตด้วย
ธนาคารและผู้ให้บริการ Mobile Banking ในไทยควรแจ้งเตือนลูกค้าถึงความเสี่ยงนี้และแนะนำให้ดาวน์โหลดแอปจาก Play Store อย่างเป็นทางการเท่านั้น
คำแนะนำ
- ดาวน์โหลดแอปจาก Google Play Store เท่านั้น — ไม่ติดตั้งแอปจากแหล่งภายนอกโดยเด็ดขาด โดยเฉพาะแอปธนาคาร
- ตรวจสอบสิทธิ์ Accessibility — ไปที่ Settings → Accessibility → Downloaded Apps แล้วตรวจว่ามีแอปแปลกปลอมได้รับสิทธิ์นี้หรือไม่
- ระวังการขอสิทธิ์ Accessibility — แอปที่ถูกกฎหมายส่วนใหญ่ไม่จำเป็นต้องขอสิทธิ์ Accessibility หากแอปธนาคารปลอมขอสิทธิ์นี้ให้ปฏิเสธทันที
- เปิดใช้ Google Play Protect — ช่วยสแกนและตรวจจับแอปอันตรายบนอุปกรณ์
- ใช้ SMS 2FA อย่างระมัดระวัง — หากพบพฤติกรรมผิดปกติบนสมาร์ตโฟน ให้ติดต่อธนาคารและ block บัตรทันที
