มัลแวร์ MIRAX บน Android กำลังระบาดหนักผ่านทางโฆษณาปลอม พบติดแล้วกว่าสองแสนราย

มัลแวร์ MIRAX บน Android กำลังระบาดหนักผ่านทางโฆษณาปลอม พบติดแล้วกว่าสองแสนราย

มัลแวร์กับระบบปฏิบัติการ Android นั้นเรียกได้ว่าเป็นของคู่กัน ขาดกันไม่ได้ ทำให้ข่าวการตรวจพบมัลแวร์ที่มุ่งโจมตีระบบนี้นั้นเป็นเรื่องปกติ แต่ก็ไม่ควรจะเป็นเรื่องที่จะนิ่งนอนใจได้แต่อย่างใด เพราะผู้ที่นิ่งนอนใจอาจตกเป็นหนึ่งในเหยื่อจำนวนมหาศาลเช่นในข่าวนี้ได้

จากรายงานโดยเว็บไซต์ Security Affair ได้กล่าวถึงการตรวจพบมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ตัวใหม่ที่มีชื่อว่า MIRAX โดยมัลแวร์ตัวนี้จะมุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้งานระบบปฏิบัติการ Android ซึ่งจะมุ่งเน้นการโจมตีไปยังกลุ่มผู้ใช้ภาษาสเปนเป็นพิเศษ โดยการโจมตีเหยื่อนั้นจะทำผ่านการยิงโฆษณาปลอมบนโซเชียลมีเดียยอดนิยม Facebook และ Instagram ด้วยการอ้างตัวเป็นแอปพลิเคชันต่าง ๆ เช่น แอปสตรีมมิงเถื่อน, แอปดูบอลฟรี ถ้าเหยื่อเผลอคลิ๊กโฆษณา ตัวโฆษณาก็จะนำพาเหยื่อไปยังเว็บไซต์ปลอมซึ่งตัวเว็บไซต์ดังกล่าวนั้นมีการป้องกันการถูกตรวจสอบไว้เป็นอย่างดี โดยเหยื่อจะสามารถเข้าถึงเว็บไซต์ผ่านทางการใช้งานบนโทรศัพท์มือถือเท่านั้น ทำให้ทีมตรวจสอบที่มักใช้งานคอมพิวเตอร์ไม่สามารถเข้าถึงเว็บปลอมด้วยวิธีการปกติได้ที่มี 

ภายในตัวเว็บไซต์นั้นจะชักชวนให้ดาวน์โหลด และติดตั้งแอปพลิเคชันปลอมดังกล่าวด้วยตัวเองผ่านทางไฟล์ติดตั้งแบบ APK หรือที่เรียกว่า การติดตั้งแบบ Sideloading โดยตัวไฟล์ดังกล่าวจะถูกฝากไว้บน GitHub ซึ่งมักจะมีการเปลี่ยนแพ็คเกจ (Repacking) บ่อย ๆ เพื่อหลบเลี่ยงระบบตรวจจับ หลังจากที่เหยื่อทำการติดตั้งแอปพลิเคชันปลอมลงบนเครื่องเป็นที่เรียบร้อยแล้ว ตัวแอปพลิเคชันดังกล่าวจะทำหน้าที่เป็นมัลแวร์นกต่อ (Dropper) ในการปล่อยไฟล์มัลแวร์ (Payload) ที่ฝังอยู่ภายในออกมาอีกทีในรูปแบบไฟล์เข้ารหัส (Encryption) สกุล .dex ซึ่งจะถูกถอดรหัสด้วยอัลกอริทึมแบบ RC4 หลังจากนั้นตัว Payload ตัวที่ 2 จะทำการคลาย Payload ตัวสุดท้ายซึ่งเป็นไฟล์ Encrypted APK ที่ซ่อนอยู่ภายในมัลแวร์นกต่อซึ่งถูกเข้ารหัสในรูปแบบ XOR เอาไว้ออกมาติดตั้ง

หลังจากที่มัลแวร์ฝังตัวบนเครื่องได้อย่างสมบูรณ์แล้ว ตัวมัลแวร์ซึ่งปลอมตัวเป็นแอปพลิเคชันวิดีโอ (Video App) ก็จะทำการร้องขอการเข้าถึงโหมดช่วยเหลือการใช้งานสำหรับคนพิการ หรือ Accessibility Mode เพื่อให้สามารถเข้าถึงการควบคุมเครื่องได้อย่างสมบูรณ์ หลังจากที่เข้าควบคุมเครื่องได้แล้ว มัลแวร์ก็จะใช้หน้าจอทับซ้อนเพื่อหลอกขโมยรหัสผ่าน (Overlay Attack) นอกจากวิธีการดังกล่าวแล้ว มัลแวร์ยังมีความสามารถในการเข้าขโมยข้อมูลและควบคุมเครื่องได้อย่างหลอกหลาย ไม่ว่าจะเป็น การเข้าควบคุมหน้าจอเพื่อแอบบันทึกหน้าจอ, การเข้าขโมยไฟล์ต่าง ๆ บนเครื่อง, การเข้าควบคุมแอปพลิเคชันต่าง ๆ (App Management) ซึ่งข้อมูลต่าง ๆ จะถูกส่งให้กับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ผ่านทาง WebSocket และความสามารถที่เหนือไปกว่ามัลแวร์ตัวเองในรูปแบบเดียวกัน นั้นคือ ความสามารถในการแปลงให้เครื่องของเหยื่อเป็น Residential Proxies แบบ SOCKS5 เพื่อให้แฮกเกอร์สามารถใช้หมายเลขไอพีของเหยื่อในการก่อการร้ายทางไซเบอร์ได้อีกด้วย