สปายแวร์ Mandrake ระบาดหนักบนผู้ใช้ Android ติดร่วม 32,000 ราย พบต้นตอซ่อนบน Google Play มานานกว่า 2 ปี

Google Play Store นั้นถึงแม้จะเป็นแอปสโตร์ที่ถูกบริหารโดยทาง Google โดยตรง แต่ก็ไม่วายตกเป็นข่าวเรื่องเหยื่อหลงดาวน์โหลดแอปปลอม จนได้แอปปนมัลแวร์เข้าทำร้ายเครื่องเหยื่ออยู่อย่างบ่อยครั้ง และครั้งนี้ก็เป็นอีกครั้งหนึ่ง

จากรายงานโดยเว็บไซต์ Infosecurity Magazine ได้รายงานถึงการที่ทีมวิจัยแห่ง Kaspersky บริษัทนักพัฒนาซอฟต์แวร์แอนตี้ไวรัสชื่อดังได้ตรวจพบมัลแวร์ Mandrake ที่ฝังอยู่บนแอปพลิเคชันถึง 5 ตัวที่มีให้ดาวน์โหลดอยู่บน Google Play และแอปพลิเคชันเหล่านี้ถูกดาวน์โหลดไปแล้วถึง 32,000 ครั้ง โดยเพียงแค่แอปพลิเคชันปลอมอย่าง AirFS ก็ถูกดาวน์โหลดไปกว่า 30,000 ครั้งแล้ว ก่อนถูกถอดออกจาก Google Play Store ในช่วงเดือนมีนาคมที่ผ่านมาหลังจากที่ตัวแอปนั้นฝังตัวอยู่บน Google Play มายาวนานกว่า 2 ปี นับตั้งแต่ปี ค.ศ. 2022 (พ.ศ. 2564) โดยรายชื่อแอปฯ ทั้ง 5 ประกอบไปด้วย

• AirFS (com.airft.ftrnsfr)
• Amber (com.shrp.sght)
• Astro Explorer (com.astro.dscvr)
• Brain Matrix (com.brnmth.mtrx)
• CryptoPulsing (com.cryptopulsing.browser)

ภาพจาก https://thehackernews.com/2024/07/new-mandrake-spyware-found-in-google.html

สำหรับการทำงานของมัลแวร์ Mandrake ซึ่งเป็นมัลแวร์ประเภทสอดส่องข้อมูล (Spyware) บนอุปกรณ์ที่ใช้ระบบปฏิบัติการ Android นั้น มีการทำงานหลังจากการฝังตัวเองลงเครื่องของเหยื่อผ่านแอปพลิเคชันที่ค่อนข้างซับซ้อน โดยหลังจากที่เหยื่อติดตั้งแอปพลิเคชันปลอมลงสู่เครื่องแล้ว มัลแวร์ก็จะเริ่มทำงานในส่วนของ Native Library ทำให้การถูกตรวจจับนั้นเป็นไปได้ยาก ซึ่งเรียกว่าพัฒนามาจาก Mandrake ในรุ่นก่อนที่ฝังโค้ดไว้บนไฟล์ Dex ซึ่งหลังจากที่ตัว Library ในขั้นแรกได้ถูกถอดรหัส (Decrypt) และโหลดลงสู่ระบบแล้ว ตัวมัลแวร์ก็จะเริ่มทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) หลังจากนั้น ถ้าฝั่งปลายทางของแฮกเกอร์เห็นว่าสมควร ก็จะเริ่มทำการปล่อยมัลแวร์ตัวจริงสู่เครื่องของเหยื่อแล้วทำการรัน

โดยความสามารถของสปายแวร์ตัวนี้นั้น มีความสามารถในการขโมยข้อมูลรหัสผ่านต่าง ๆ ของเหยื่อ และมีความสามารถในการเป็นตัวกลางในการดาวน์โหลดและรันมัลแวร์ตัวอื่น ๆ ตามแต่ที่ทางแฮกเกอร์เห็นสมควร ซึ่งนอกจากความสามารถในการเล่นงานเหยื่อ และหลบเลี่ยงการตรวจจับตามที่กล่าวมาข้างต้นแล้วนั้น ตัวมัลแวร์ก็ยังมีความสามารถในการตรวจสอบสถานะของเครื่องของเหยื่ออีกว่า อยู่ในสภาวะจำลองการทำงาน (Emulation), เป็นเครื่องที่ถูก Rooted, หรือ บนเครื่องติดตั้งเครื่องมือวิเคราะห์ไว้อยู่หรือไม่? ซึ่งเป็นฟีเจอร์ที่สร้างปัญหาทั้งในด้านการตรวจจับโดยอุปกรณ์ต่าง ๆ และการวิเคราะห์โดยผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์เป็นอย่างมาก

การป้องกันภัยดังกล่าวนั้น นอกจากที่ผู้ใช้งานจะต้องหลบเลี่ยงไม่ดาวน์โหลดแอปพลิเคชันที่ดูไม่น่าไว้วางใจแล้ว ทางผู้ใช้บริการก็อาจมีความจำเป็นต้องรวมพลังส่งเสียงร้องเรียนไปยังผู้ให้บริการแอปสโตร์ อย่างเช่นทาง Google ให้มีการตรวจสอบอย่างเข้มงวดก่อนที่จะทำการอนุมัติแอปพลิเคชันให้สามารถดาวน์โหลดบน Google Play อีกด้วย เนื่องจากการตรวจสอบที่เลินเล่อไม่ถี่ถ้วนนั้นก่อความเสียหายให้กับลูกค้า และผู้ใช้บริการจำนวนมาก