แฟน Android ระวัง แฮกเกอร์ปล่อยเช่ามัลแวร์ Android แบบลดราคาในตลาดมืด

ระบบปฏิบัติการบนโทรศัพท์มือถือที่ได้รับความนิยมเป็นอันดับต้น ๆ คงจะหนีไม่พ้น Android และแน่นอนเมื่อมีผู้ใช้งานจำนวนมาก ก็ย่อมมีมัลแวร์จำนวนมากเช่นเดียวกัน และข่าวนี้อาจจะเป็นข่าวร้ายที่ผู้ใช้งาน Android อาจต้องเผชิญกับอันตรายได้มากกว่าเดิม

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบกิจกรรมการจัดจำหน่ายมัลแวร์ประเภทเช่าใช้ หรือ MaaS (Malware-as-a-Service) สำหรับการใช้งานในการโจมตีโทรศัพท์สมาร์ทโฟนที่ใช้งานระบบปฏิบัติการ Android ที่มีการขายที่ถูกลงไปเรื่อย ๆ ซึ่งบางตัวนั้นปล่อยให้เช่าถูกมาก เพียงแค่ 300 ดอลลาร์สหรัฐ (9,699 บาท) ต่อเดือนเท่านั้น ทั้งยังมีการพัฒนาให้ผู้ใช้งานถึงแม้จะไม่ใช่แฮกเกอร์มืออาชีพก็สามารถใช้งานได้ง่าย แต่มีประสิทธิภาพในการทำงานที่สูง ซึ่งเครื่องมือที่โดดเด่นในปัจจุบันนั้นมีอยู่ 2 ตัว คือ PhantomOS และ Nebula ซึ่งมีหน้าตาที่เป็นมิตรแก่ผู้ใช้งาน (User-Friendly) แต่มีประสิทธิภาพในการทำงานที่สูง มีรูปแบบเครื่องมือการโจมตีเครื่องของเป้าหมายที่ครอบคลุม

ภาพจาก : https://cybersecuritynews.com/renting-android-malware-with-2fa-interception/

ซึ่งในส่วนของ Phantom OS นั้นถูกโฆษณาว่าเป็นมัลแวร์ประเภท MaaS ที่ "ทรงพลังที่สุดในโลก" โดยผู้ใช้งานนั้นจะต้องจ่ายเงินที่ 799 ดอลลาร์สหรัฐ (25,831.66 บาท) ต่อสัปดาห์ หรือ 2,499 ดอลลาร์สหรัฐ (80,792.65 บาท) ต่อเดือน พร้อมแผนแชร์กำไรที่ได้จากการเรียกค่าไถ่เหยื่อ ซึ่งตัวแพลตฟอร์มนั้นจะมาพร้อมกับฟีเจอร์มากมาย ไม่ว่าจะเป็นการแอบติดตั้งลงเครื่องของเหยื่อแบบเงียบเชียบ, การดักจับข้อความสั้น (SMS หรือ Short Message Service) และรหัสแบบใช้งานครั้งเดียว (OTP หรือ One-Time Password) สำหรับใช้ในการฝ่าระบบยืนยันตัวตนสองชั้น (2FA หรือ 2 Factors Authentication) และการทำหน้าจอซ้อนเพื่อการหลอกลวงแบบ Phishing

ขณะที่ทางฝั่ง Nebula นั้นถูกกว่ามาก เพราะคิดค่าใช้จ่ายเพียงแค่ 300 ดอลลาร์สหรัฐ (9,699 บาท) ต่อเดือนเท่านั้น ทั้งมาพร้อมกับฟีเจอร์ขโมย SMS, ตำแหน่ง GPS, บันทึกการโทรเข้าออก และบันทึกผู้ติดต่อ (Contact) แบบอัตโนมัติ โดยมัลแวร์ทั้ง 2 ตัวนั้นมีจุดร่วมกันคือใช้บริการแชทอย่าง Telegram ในการทำหน้าที่เป็นเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ทำให้ผู้ใช้งานนั้นสามารถใช้งานได้ง่ายและสะดวกสบาย

นอกจากนั้นทางทีมวิจัยจาก iVerify บริษัทผู้พัฒนาเครื่องมือรักษาความปลอดภัยอุปกรณ์ปลายทาง (EDR หรือ Endpoint Detection and Response) สำหรับโทรศัพท์มือถือ ได้พบว่ามัลแวร์ทั้ง 2 นั้นมีระบบป้องกันการถูกตรวจจับโดยเครื่องมือป้องกันที่เรียกได้ว่า แข็งแกร่งด้วยการใช้ในมัลแวร์ที่ไม่สามารถตรวจจับได้ (Fully Undetectable หรือ FUD) ด้วยการใช้งานเทคนิคระดับสูงอย่างการเข้ารหัส และฝังโค้ดการตีรวนระบบป้องกัน (Obfuscation) ลงบนไฟล์ติดตั้งมัลแวร์ในรูปแบบ APK ซึ่งเครื่องมือเข้ารหัสนั้นจะมีการดัดแปลงลายเซ็น (Signature) ของไฟล์ติดตั้งเพื่อหลบเลี่ยงการตรวจจับของเครื่องมือป้องกันอย่าง Google Play Protect และเครื่องมือแอนตี้ไวรัสอื่น ๆ

ไม่เพียงเท่านั้น ตัวมัลแวร์ยังมีเทคนิคในการคงตัวบนระบบ (Persistence) ด้วยการใช้ฟังก์ชันโหมดล่องหน (Stealth Mode) ช่วยให้แฮกเกอร์เข้าสู่ระบบจากระยะไกล และทำงานร่วมกับมัลแวร์โดยทั้งระบบตรวจจับและผู้ใช้งานไม่รู้ตัว นอกจากนั้นตัวมัลแวร์เองยังมีความเข้ากันได้กับ Android แทบทุกรุ่น ไม่เว้นแม้แต่รุ่นล่าสุดอย่าง Android 15 ทั้งยังมีระบบต้านทานการฟีเจอร์ความปลอดภัยใหม่ ๆ จากอัปเดตความปลอดภัยอีกด้วย