เมื่อใดที่มัลแวร์ Xafecopy ถูกปลุกให้ทำงาน จะคลิ้กบนเว็บเพจที่มีระบบชำระเงิน Wireless Application Protocol (WAP) billing ซึ่งเป็นรูปแบบการชำระเงินไร้สายที่คิดค่าบริการตรงไปยังบิลเรียกเงินค่าใช้บริการโมบายโฟน
ผู้เชี่ยวชาญแคสเปอร์สกี้ แลป เปิดเผยการค้นพบโมบายมัลแวร์พุ่งเป้าระบบชำระเงิน WAP billing โจรกรรมเงินเหยื่อผ่านบัญชีธนาคารโมบายโดยเหยื่อไม่ระแคะระคายเลยแม้แต่น้อย โทรจัน Xafecopy นี้พรางตัวเป็นแอพที่ดีมีประโยชน์ อาทิ แอบเป็น BatteryMaster เป็นต้น และทำงานปกติ แต่แอบแกะรหัสและโหลดโค้ดร้ายมาลงบนอุปกรณ์ บางไฟล์ในจาวาสคริปต์ไฟล์ที่พบใช้โดย Xafecopy นั้นก็พบเห็นในโทรจันชื่อกระฉ่อน Ztorg ด้วย ส่อเค้าว่ามีการใช้โค้ดบางตัวร่วมกันระหว่างแก๊งอาชญากรรม
เมื่อใดที่มัลแวร์ Xafecopy ถูกปลุกให้ทำงาน จะคลิ้กบนเว็บเพจที่มีระบบชำระเงิน Wireless Application Protocol (WAP) billing ซึ่งเป็นรูปแบบการชำระเงินไร้สายที่คิดค่าบริการตรงไปยังบิลเรียกเงินค่าใช้บริการโมบายโฟน ดังนั้น จึงไม่จำเป็นต้องลงทะเบียนข้อมูลในบัตร หรือเซ็ตอัพชื่อผู้ใช้ รหัสผ่าน จากนั้นก็จะแอบดอดสมัครสมาชิกใช้บริการต่างๆ ทั่วไปหมดโดยอาศัยหมายเลขโทรศัพท์ของเหยื่อ มัลแวร์ใช้จาวาสคริปต์ไฟล์ที่สามารถอ้อมหลบเลี่ยงระบบ ‘captcha’ ที่ออกแบบเพื่อป้องกันผู้ใช้งานด้วยการที่จะต้องมีผู้ยืนยันการทำธุรกรรมด้วยตนเอง
“ระบบเรียกเก็บเงิน WAP billing จัดว่ามีจุดอ่อนอย่างยิ่งโดยเฉพาะกับสิ่งที่เรียกว่า clickjacking ‘การคลิ้กบังคับปล้น’ เนื่องจากมีฟีเจอร์ one-click เพียงคลิ้กเดียวที่สามารถดอดหลบเลี่ยงการตรวจสอบความถูกต้องของผู้ใช้งานได้เลย จากการวิจัยของเราพบว่าการโจมตีระบบ WAP billing กำลังเพิ่มจำนวนขึ้นเรื่อยๆ และ Xafecopy มีเป้าหมายประเทศที่ระบบการชำระเงินเช่นนี้เป็นที่นิยม ยังได้ตรวจพบมัลแวร์นี้ในแบบที่ได้รับการปรับแต่งให้ต่างออกไป เช่น สามารถส่งข้อความออกจากอุปกรณ์สื่อสารไร้สายไปยังหมายเลขโทรศัพท์ระดับพรีเมี่ยม ลบข้อความที่เข้ามาทิ้งไปเพื่อซ่อนข้อความแจ้งเตือนจากผู้ให้บริการเครือข่ายไร้สายเกี่ยวกับการโจรกรรมเงิน” โรมัน อูนูเชค นักวิเคราะห์มัลแวร์อาวุโส แคสเปอร์สกี้ แลป กล่าว
Xafecopy โจมตีผู้ใช้มากกว่า 4,800 รายใน 47 ประเทศภายในหนึ่งเดือน โดยผลิตภัณฑ์ของแคสเปอร์สกี้ แลปตรวจพบและบล็อกไปได้ 37.5% เป้าหมายอยู่ที่อินเดีย รัสเซีย ตุรกี และเม็กซิโก ตามลำดับ
ที่มา : Kaspersky
