ปลอมตัวเก่ง! มัลแวร์ CapraRAT ปลอมตัวเป็นแอป TikTok มุ่งขโมยข้อมูลผู้ใช้ Android

มัลแวร์ในปัจจุบันมักใช้การกระจายตัวในรูปแบบหลัก ๆ นั่นคือ การใช้ Phishing หลอกให้เหยื่อติดตั้งมัลแวร์แบบตรง ๆ และ การปลอมตัวเป็นแอปพลิเคชันชื่อดังเพื่อหลอกให้ติดตั้ง หรือ ใช้ทั้ง 2 รูปแบบรวมกัน ซึ่งข่าวนี้ก็เป็นอีกข่าวที่รูปแบบหลังได้ถูกนำเข้ามาใช้

จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงการโจมตีครั้งใหม่ของกลุ่มแฮกเกอร์ Transparent Tribe จากประเทศปากีสถานได้ใช้วิธีการวิศวกรรมทางสังคม (Social Engineering คือ การโจมตีในรูปแบบหนึ่งที่นำเอาวิธีการทางจิตวิทยา และการสร้างสถานการณ์เพื่อหลอกลวงเหยื่อ) เพื่อหลอกให้เหยื่อติดตั้งแอปพลิเคชันปลอมแฝงมัลแวร์ที่มาในรูปแบบไฟล์ติดตั้ง .apk ซึ่งเป็นไฟล์สำหรับการติดตั้งแอปพลิเคชันบนอุปกรณ์ที่ใช้ระบบปฏิบัติการแบบ Android โดยทางทีมนักวิจัยจาก SentinelOne บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ได้กล่าวถึง ความเป็นไปได้ที่แฮกเกอร์กลุ่มดังกล่าวนี้จะเล็งกลุ่มเหยื่อที่เป็นผู้ชื่นชอบการเล่นเกมส์ และโซเชียลมีเดียชื่อดังอย่าง TikTok

ซึ่งมัลแวร์ที่มากับไฟล์ .apk ที่แฮกเกอร์ใช้งานนั้นมีชื่อว่า CapraRAT เป็นมัลแวร์ที่จัดอยู่ในประเภท Remote Access Trojan ที่เปิดทางให้แฮกเกอร์สามารถเข้าถึงเพื่อขโมยข้อมูล หรือ ควบคุมระบบจากทางไกลได้ โดยได้มีการพบการใช้งานครั้งแรกโดยแฮกเกอร์กลุ่มดังกล่าวในช่วงประมาณปี ค.ศ. 2022 (พ.ศ. 2565) เพื่อโจมตีหน่วยงานราชการ และการทหารของประเทศอินเดีย ซึ่งเป็นคู่ขัดแย้งของประเทศปากีสถานเป็นหลัก และได้เริ่มมีรายงานการใช้งานเพื่อโจมตีกลุ่มผู้ใช้งานทั่วไปครั้งแรกประมาณเดือนกันยายน ค.ศ. 2023 (พ.ศ. 2566) โดยตัวมัลแวร์ได้แฝงตัวอยู่ในไฟล์ติดตั้งแอปพลิเคชัน Youtube ปลอม

สำหรับการทำงานของมัลแวร์ CapraRAT นั้น หลังจากที่ได้ถูกติดตั้งลงเครื่องแล้ว ตัวมัลแวร์จะใช้ WebView ในการเปิดหน้าเว็บไซต์ ซึ่งอาจจะเป็น Youtube เอง หรือเว็บไซต์ CrazyGames[.]com  ที่ (อ้างว่า) เกี่ยวข้องกับวิดีโอเกมส์ ขึ้นมา แต่เบื้องหลังนั้นตัวมัลแวร์จะทำการขโมยข้อมูลต่าง ๆ ที่อยู่บนเครื่อง ไม่ว่าจะเป็นข้อมูลการโทรเข้าออก, ข้อมูล SMS, เบอร์ติดต่อบนสมุดโทรศัพท์ที่บันทึกไว้, บันทึกหน้าจอที่ใช้งานอยู่, แอบบันทึกวิดีโอและเสียง หรือแม้แต่กระทั่งสามารถสั่งโทรออกได้เองโดยที่เหยื่อไม่รู้ตัวอีกด้วย

แต่ที่น่าสังเกตจากทีมวิจัยนั่นคือ สิทธิ์ในการเข้าถึง (Permission) ที่สร้างสามารถสร้างความเสียหายให้เหยื่อโดยตรง เช่น READ_INSTALL_SESSIONS, GET_ACCOUNTS, AUTHENTICATE_ACCOUNTS, และ REQUEST_INSTALL_PACKAGES ได้หายไปจากมัลแวร์ CapraRAT ในเวอร์ชันปัจจุบัน ทำให้มีข้อสันนิษฐานว่า แฮกเกอร์อาจมีจุดประสงค์แค่เพื่อใช้สอดแนมขโมยข้อมูลมากกว่าจะทำลาย สร้างความเสียหายให้กับเหยื่อ

สำหรับรายชื่อแอปพลิเคชันที่มีรายงานว่า มีเวอร์ชันปลอมแฝงมัลแวร์ มีดังนี้

• Crazy Game (com.maeps.crygms.tktols)
• Sexy Videos (com.nobra.crygms.tktols)
• TikToks (com.maeps.vdosa.tktols)
• Weapons (com.maeps.vdosa.tktols)

ถึงแม้จะมีรายงานข้างต้นว่า มีการใช้การหลอกลวงเหยื่อด้วยวิธีการวิศวกรรมทางสังคม แต่แหล่งข่าวก็ไม่ได้มีการอธิบายเพิ่มเติมว่า แฮกเกอร์หลอกเหยื่อได้อย่างไร ? ดังนั้น เพื่อความปลอดภัย ขอให้ผู้อ่านติดตั้งแอปพลิเคชันจากแหล่งที่มีความน่าเชื่อถือเท่านั้น และหมั่นอัปเดตตัวระบบปฏิบัติการอย่างสม่ำเสมอเพื่ออุดช่องโหว่ความปลอดภัยต่าง ๆ ที่แฮกเกอร์อาจใช้ประโยชน์ได้