แฮกเกอร์ลวงติดตั้งมัลแวร์ควบกับแอปฉ้อโกง ใช้เครื่องเหยื่อคลิ๊กโฆษณาหาเงิน พร้อมขโมยรหัสผ่าน

การหลอกลวงผ่านอินเทอร์เน็ตนั้นเรียกได้ว่ามีมากมายหลายรูปแบบกลเม็ด ทั้งการใช้โฆษณาปลอม แอปปลอม รางวัลปลอม และข่าวนี้อาจจะช่วยให้ผู้อ่านได้เรียนรู้ รับทราบ และรับมือกับกลโกงรูปแบบใหม่ได้

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญการโจมตีกลุ่มผู้ใช้งานโทรศัพท์สมาร์ทโฟนระบบ Android ตัวใหม่ซึ่งเป็นการหลอกให้ดาวน์โหลดแอปปลอมปนมัลแวร์ในรูปแบบไฟล์ APK (Android Package Kit) เพื่อที่จะใช้เครื่องของเหยื่อในการระดมคลิ๊กโฆษณาพื่อรับเงิน (Click Fraud) และขโมยรหัสผ่านบนเครื่องของเหยื่อเพื่อนำเอาไปใช้งานเอง ซึ่งแคมเปญนี้กำลังแพร่ระบาดในหลากภูมิภาค ไม่ว่าจะเป็น ยุโรป, ลาตินอเมริกา และเอเชียตะวันออกเฉียงใต้ โดยแคมเปญดังกล่าวนี้ถูกตรวจพบโดยทีมวิจัย Trustwave แห่งองค์กร SpiderLabs องค์กรรวมแฮกเกอร์สายสว่างที่มุ่งหน้าต่อสู้กับภัยอาชญากรไซเบอร์

โดยแคมเปญดังกล่าวนี้จะใช้กลยุทธ์หลอกให้เหยื่อทำการดาวน์โหลดแอปพลิเคชันปลอมจากนอกแอปสโตร์อย่างเป็นทางการอย่าง Google Play Store ด้วยวิธีการวิศวกรรมทางสังคม (Social Engineering) ด้วยข้อความชวนดึงดูดให้ทำตามเช่น “Get Free $5” หรือ “Create Your Ad Campaign” โดยแฮกเกอร์อาจทำผ่านทางการติดต่อโดยตรงผ่านกล่องข้อความบนโซเชียลมีเดียหรืออาจใช้งาน QR Code หลอกให้สแกน ซึ่งจะนำไปสู่เว็บไซต์ปลอมเพื่อดาวน์โหลดแอปพลิเคชันแฝงมัลแวร์ที่แอบอ้างตัวเป็นแอปพลิเคชันประเภทที่ถ้าทำตามคำสั่งในแอปก็จะได้รางวัล (Task-Reward Utility) ไปจนถึงแอปพลิเคชันชื่อดังอย่าง Google Chrome และ Facebook

หลังจากที่เข้าถึงเว็บไซต์ปลอมดังกล่าวแล้ว พอเหยื่อกดปุ่ม Start Now ก็จะเป็นการดาวน์โหลดไฟล์ APK ของแอปปลอม ที่มีการตั้งชื่อ File Path ให้คล้ายคลึงกับโดเมนรูปแบบ Sub-Domain เพื่อหลอกลวงผู้ใช้งานให้ไม่เอะใจ คิดว่าเป็นการเข้าเว็บไซต์แบบธรรมดา เช่น apk.kodownapp.top

ซึ่งหลังจากที่ดาวน์โหลดมาและติดตั้งสำเร็จ ตัวแอปพลิเคชันปลอมจะทำการขอสิทธิ์ในการเข้าถึงระบบ (Permission) ที่มากมายในระดับที่เรียกได้ว่าเข้าถึงได้แทบทุกอย่างบนระบบ โดยถัดมาตัวแอปปลอมก็จะใช้งานเฟรมเวิร์กที่มีชื่อว่า ApkSignatureKillerEx เพื่อดาวน์โหลดไฟล์มัลแวร์ (Payload) ตัวที่ 2 ที่มีชื่อว่า origin.apk ลงมาบนโฟลเดอร์เดียวกัน พร้อมทั้งหลอกลวงว่าเป็นอัปเดตที่เชื่อถือได้ ทำให้ตัวไฟล์ไม่ถูกสกัดกั้นการดาวน์โหลดและติดตั้งถึงแม้จะไม่มีลายเซ็นยืนยันตัวไฟล์ที่ถูกต้อง (Signature) ก็ตาม

ในการทำงานของมัลแวร์ในขั้นแรกนั้น ตัวมัลแวร์จะเริ่มตั้งตัวเองเป็นฐานรองรับ (Beacon) ในการรับการตั้งค่าต่าง ๆ จาก 38.54.1.79:9086/#/entry ซึ่งการตั้งค่านั้นจะเป็นการตั้งค่าคู่ขนาน 2 อย่าง นั่นคือ การให้ตัวมัลแวร์ทำการคลิ๊กโฆษณาที่กำหนดอย่างอัตโนมัติ และการตั้งค่าให้ขโมย และส่งออกรหัสผ่านต่าง ๆ ที่มีอยู่บนเครื่องเหยื่อ กลับไปยังเซิร์ฟเวอร์ของแฮกเกอร์ ซึ่งในการทำงานของตัวมัลแวร์นั้นผู้ใช้งานอาจสามารถสังเกตได้ว่าแบตเตอร์รี่นั้นหมดเร็วไวกว่าเดิม หรืออาจเห็นว่ามีการใช้งานอินเทอร์เน็ตในส่วนของ Data มากกว่าปกติ

นอกจากนั้น ในส่วนของเทคนิคการทำงานของมัลแวร์นั้น ทางทีมวิจัยยังได้เปิดเผยว่ามี การเชื่อมต่อกับเซิร์ฟเวอร์ควบคม (C2 หรือ Command and Control) มีการเข้ารหัสแบบ Base-64 ทั้งยังมีและ AES เมื่อมีการใช้โหมด Electronic Code Book รวมทั้งมีการฝังโค้ดแบบค่าคงที่ (Hard-coded) บนไฟล์ APK ให้มัลแวร์สามารถทำการถอดรหัส (Decoded) ผ่านช่องทาง API แบบ On the Fly ได้ถ้าโดเมนที่เชื่อมต่อกับมัลแวร์ถูกบล็อก ไม่เพียงเท่านั้นทางทีมวิจัยยังได้เปิดเผยโค้ดที่เกี่ยวข้องกับการทำงานส่วนนี้ไว้ด้วย ซึ่งโต้ดดังกล่าวนั้นมีลักษณะดังนี้

Cipher cipher = Cipher.getInstance("AES");

byte[] keyBytes = new byte[16];

System.arraycopy("123456789mangofb".getBytes(), 0, keyBytes, 0, 16);

SecretKeySpec keySpec = new SecretKeySpec(keyBytes, "AES");

cipher.init(Cipher.DECRYPT_MODE, keySpec);

byte[] decrypted = cipher.doFinal(Base64.decode(encryptedData, 0));

จากที่กล่าวมาข้างต้น การระมัดระวังในการใช้งานด้วยการไม่หลงเชื่อข้อความหรือ QR Code จากคนแปลกหน้า รวมทั้งโฆษณาแปลก ๆ ทั้งบน Search Engine และโซเชียลมีเดีย ยังคงเป็นวิธีการหลักในการช่วยป้องกันตัวเองจากมัลแวร์และการโจมตีในรูปแบบนี้ได้อยู่