แอปความปลอดภัยไซเบอร์ปลอม ใช้แหล่งฝากแอป AI "Hugging Face" ปล่อยมัลแวร์ลง Android

ในยุคที่มีภัยไซเบอร์รอบด้านนี้ ผู้ใช้งานอุปกรณ์ไอที เช่น คอมพิวเตอร์ หรือสมาร์ทโฟนก็มักจะมีความสนใจในการหาดาวน์โหลดแอปพลิเคชันด้านความปลอดภัยไซเบอร์มาติดตั้งเพื่อป้องกันภัย และนั่นก็เป็นช่องโหว่ให้แฮกเกอร์เข้ามาแอบอ้างได้เช่นเดียวกัน

จากรายงานโดยเว็บไซต์ Phone World ได้กล่าวถึงการตรวจพบแคมเปญปล่อยมัลแวร์ประเภทเข้าควบคุมเครื่องของเหยื่อจากระยะไกล หรือ RAT (Remote Access Trojan) ด้วยการแอบอ้างว่าเป็นแอปพลิเคชันด้านความปลอดภัยไซเบอร์สำหรับระบบปฏิบัติการ Android ที่มีชื่อว่า TrustBastion ที่อ้างว่ามีความสามารถในการตรวจจับภัยไซเบอร์ได้มากมายไม่ว่าจะเป็นโฆษณาปลอม, ข้อความสั้น (SMS หรือ Short Message Service) หลอกลวง, ความพยายามในการหลอกลวงแบบ Phishing และมัลแวร์ประเภทต่าง ๆ แต่ในความเป็นจริงแล้วตัวแอปปลอมนี้กลับทำหน้าที่เป็น มัลแวร์นกต่อ (Dropper) ในการดาวน์โหลดไฟล์มัลแวร์ (Payload) ของมัลแวร์ RAT ดังกล่าวลงมาติดตั้งบนเครื่อง

แหล่งข่าวไม่ได้บอกแต่อย่างใดว่าจุดเริ่มต้นของการหลอกลวงให้ดาวน์โหลดและติดตั้งแอปพลิเคชันปลอมนี้เริ่มต้นมาจากจุดไหน แต่คาดว่าอาจจะมาจากโฆษณาปลอม ที่หลอกให้ไปดาวน์โหลดจากแหล่งดาวน์โหลดแอปพลิเคชันสำหรับโทรศัพท์สมาร์ทโฟน Android แบบ 3rd Party ซึ่งหลังจากที่ดาวน์โหลดและติดตั้งเป็นที่เรียบร้อยแล้ว ตัวแอปปลอมก็จะทำการติดต่อกับเซิร์ฟเวอร์ที่อยู่บน URL ชื่อว่า trustbastion[.]com โดยหลังจากติดต่อไปถึงเซิร์ฟเวอร์แล้ว ตัวเซิร์ฟเวอร์ก็จะทำการเปลี่ยนเป้าหมาย (Redirect) ไปยังคลังดิจิทัล (Repo หรือ Repository) ชื่อ "Hugging Face" ซึ่ง Repo ตัวนี้ตามปกติแล้วเป็นบริการที่เชื่อถือได้ และมักถูกใช้งานเพื่อฝากไฟล์โครงการด้านปัญญาประดิษฐ์ หรือ AI (Artificial Intelligence) ต่าง ๆ แต่แฮกเกอร์กลับสามารถนำเอามาใช้เป็นแหล่งฝากมัลแวร์ได้ 

ซึ่งตัวมัลแวร์นกต่อก็จะทำการดึงเอาไฟล์ Payload ของมัลแวร์ RAT มาจาก Hugging Face ผ่านทางระบบส่งคอนเทนต์ หรือ CDN (Content Delivery Network) ลงมาติดตั้งบนเครื่อง ซึ่งระบบ CDN นี้ก็เป็นระบบของทาง Hugging Face ด้วยเช่นเดียวกัน และด้วยวิธีการเช่นนี้ ตัวมัลแวร์ก็จะสามารถหลบเลี่ยงการถูกตรวจจับได้ นอกจากนั้นทางทีมวิจัยจาก Bitdefender บริษัทนักพัฒนาเครื่องมือต่อต้านมัลแวร์ ยังพบอีกว่าตัวมัลแวร์มีการใช้ระบบ Polymorphism ของทางเซิร์ฟเวอร์ในการดัดแปลงสายพันธุ์ย่อย (Variant) ของมัลแวร์ทุก 15 นาที เพื่อให้การหลบเลี่ยงการตรวจจากระบบของเหยื่อได้อย่างมีประสิทธิภาพมากยิ่งขึ้น

มัลแวร์ RAT ดังกล่าวนั้นไม่ได้มีการถูกระบุชื่อไว้แต่อย่างใด แต่ทางทีมวิจัยก็ได้มีการอธิบายไว้ว่า มัลแวร์ดังกล่าวนั้นมุ่งเน้นการขโมยข้อมูล เช่น รหัสผ่าน จากบริการทางการเงินต่าง ๆ เช่น Alipay และ WeChat ด้วยการใช้เทคนิคซ้อนหน้าจอ (Overlayt Attack) เพื่อหลอกให้เหยื่อป้อนรหัสผ่านบนหน้าจอปลอมที่ซ้อนขึ้นมา นอกจากนั้นยังใช้เทคนิคดังกล่าวในการหลอกขโมยรหัสปลดล็อกหน้าจออีกด้วย ทางทีมวิจัยยังได้เผยว่าตัวมัลแวร์นั้นจะเข้าควบคุมเครื่องของเหยื่อผ่านทางโหมดช่วยเหลือผู้ใช้งานที่พิการ หรือ Accessibility Mode เพื่อใช้งานความสามารถในการขโมยข้อมูลต่าง ๆ ดังนี้

ระบบซ้อนหน้าจออย่างที่กล่าวไว้ข้างต้น

ดักจับภาพหน้าจอ (Screenshot)

จำลองการเลื่อนหน้าจอ และ กด (Tap) หน้าจอ

ป้องกันการถอนการติดตั้ง (Uninstallation)

มอนิเตอร์พฤติกรรมของเหยื่อ

และเพื่อสร้างความแนบเนียนให้มากยิ่งขึ้น มัลแวร์ยังได้ทำการโหลดคอนเทนต์ที่เหมือนกับแอปของจริงลงมาจากเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อหลอกลวงเหยื่อให้ตายใจอีกด้วย

ในการต่อกรแคมเปญนี้ ทางทีมวิจัยได้ร่วมมือกับทาง Hugging Face เพื่อลบไฟล์ Payload มัลแวร์ออกจากระบบเป็นที่เรียบร้อยแล้ว นอกจากนั้นยังให้ตำแนะนำกับผู้ใช้งานโทรศัพท์มือถือในการใช้งานอย่างปลอดภัย โดยคำแนะนำนั้นมีดังนี้

หลีกเลี่ยงการดาวน์โหลดแอปพลิเคชันจากแหล่งดาวน์โหลดแบบ 3rd Party

ระวังคำเตือนด้านความปลอดภัยจากแอปพลิเคชันที่ดูผิดปกติ

ตรวจสอบคำขอสิทธิ์ในการเข้าถึงระบบ (Permission) อย่างถ้วนถี่ และระมัดระวังในการอนุมัติทุกครั้ง

ติดตั้งอัปเดตของแอปพลิเคชันผ่านทางช่องทางอย่างเป็นทางการเท่านั้น