ขบวนการฉ้อโกงบน Android ครั้งยิ่งใหญ่ ถูกเปิดโปง พบเกี่ยวพันกับแอปฯ ปลอมมากกว่า 300 แอปฯ

ตามปกติเมื่อพบกับแอปพลิเคชันปลอมปนมัลแวร์ หรือโฆษณาปลอม หลายคนอาจคิดว่าแต่ละตัวเป็นปฏิบัติการหลอกลวงแบบเดี่ยว ๆ แต่แท้จริงแล้ว เบื้องลึกนั้นอาจเกี่ยวพันกับขบวนการฉ้อโกงใหญ่ก็ได้

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการเข้าตรวจสอบแคมเปญหลอกลวงผ่านทางโฆษณาบนโทรศัพท์มือถือที่มีชื่อว่า IconAds ซึ่งอาศัยการหลอกให้เหยื่อติดตั้งแอปพลิเคชันปลอมที่แอบอ้างเป็นแอปพลิเคชันชื่อดังตัวอื่น ๆ เพื่อส่งโฆษณา (Ads) ขึ้นบนเครื่องของเหยื่อ ซึ่งโฆษณาเหล่านั้นสามารถนำพาเหยื่อไปยังเว็บไซต์อันตรายอีกทอดหนึ่งได้ และตัวแฮกเกอร์ก็จะได้ส่วนแบ่งจากค่าโฆษณาที่ถูกยิงใส่เครื่องของเหยื่อ โดยทีมวิจัยจาก HUMAN Security บริษัทผู้เชี่ยวชาญด้านการป้องกันการฉ้อโกงออนไลน์ ซึ่งจากการตรวจสอบแล้วพบว่าแคมเปญดังกล่าวนั้นมีความเชื่อมโยงกับแอปพลิเคชันปลอมมากถึง 352 ตัว ด้วยกัน 

ซึ่งในการทำงานของแคมเปญนี้นั้น เมื่อมีผู้ที่ติดตั้งแอปพลิเคชันที่เกี่ยวโยงกับแคมเปญดังกล่าว ซึ่งมักแฝงตัวอยู่บนแอปสโตร์อย่างเป็นทางการ เช่น Google Play Store ตัวแอปพลิเคชันจะทำการตีรวนเพื่อสร้างความสับสนให้กับผู้ใช้งาน และตัวระบบ (Obfuscation) ด้วยการแสดงผลตัวไอคอน และชื่อของแอปพลิเคชันคล้ายกับว่าเป็นแอปพลิเคชันจริง ๆ แต่หลังจากรันขึ้นมาแล้ว ตัวแอปพลิเคชันปลอมนี้ก็จะทำการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อดึงเอามัลแวร์ตัวจริงลงมาขณะที่ยังคงตัวไอคอน และชื่อเดิมอยู่บนหน้าจอ ไม่เพียงเท่านั้น ตัวแอป และไอคอน จะยังถูกซ่อนไม่ให้ปรากฏบนหน้าจอ Home เพื่อป้องกันการถูกลบโดยง่ายอีกด้วย โดยปัจจุบันแอปพลิเคชันปลอมเหล่านี้กำลังระบาดหนักในประเทศ บราซิล, เม็กซิโก และสหรัฐอเมริกา

ภาพจาก: https://martech.org/how-to-tackle-ad-fraud/

ทีมวิจัยยังเผยอีกว่า ในบางสายพันธุ์นั้น ถึงขั้นปลอมตัวเป็นแอปพลิเคชัน Play Store ซึ่งเป็นแอปพลิเคชันสำหรับเข้าสู่แอปสโตร์อย่างเป็นทางการสำหรับผู้ใช้งานโทรศัพท์มือถือบนระบบปฏิบัติการ Android โดยเมื่อผู้ใช้งานกดใช้งานแอปพลิเคชันปลอมดังกล่าว ตัวแอปพลิเคชันจะพาผู้ใช้งานไปยังแอปสโตร์จริง แต่ในขณะเดียวกันตัวมัลแวร์ก็จะทำงานอยู่เบื้องหลัง (Background) ในการติดต่อกับเซิร์ฟเวอร์เพื่อแสดงผลโฆษณา

ทว่าก็ยังมีข่าวดีเกี่ยวกับแคมเปญนี้อยู่บ้างคือ แอปพลิเคชันปลอมที่กล่าวมามักจะอยู่บนแอปสโตร์ได้ไม่นาน ซึ่งล่าสุด ทาง Google ก็ได้ทำการลบแอปพลิเคชันที่เกี่ยวข้องกับแคมเปญนี้จากบน Google Play Store ไปเป็นจำนวนมากแล้ว ถึงกระนั้น ทางทีมวิจัยก็คาดการณ์ว่า ทีมแฮกเกอร์ที่อยู่เบื้องหลังแคมเปญนี้จะพัฒนาตัวแคมเปญที่ซับซ้อน และแนบเนียนกว่าที่เป็นอยู่ในปัจจุบันอย่างแน่นอน 

และแคมเปญการฉ้อโกงผ่านทางโฆษณาอันตรายนั้น IconAds ก็ไม่ใช่แคมเปญเดียวที่กำลังดำเนินอยู่ในปัจจุบัน ทางทีมวิจัยจาก IAS Threat Lab องค์กรผู้เชี่ยวชาญด้านการตรวจจับการฉ้อโกงผ่านโฆษณาออนไลน์ ได้ตรวจพบแคมเปญที่มีชื่อว่า Kaleidoscope โดยแคมเปญนี้แฮกเกอร์จะล่อลวงเหยื่อด้วยการวางแอปพลิเคชันที่รูปร่างหน้าตาภายนอกเหมือนกันทุกประการ ซึ่ง แอปพลิเคชันตัวจริงที่ดูไม่มีพิษภัยจะถูกวางไว้บน Google Play Store ขณะที่แอปพลิเคชันแฝงมัลแวร์จะวางไว้บนแอปสโตร์แบบ 3rd Party ซึ่งจะเป็นสร้างความน่าเชื่อถือ หลอกลวงให้ผู้ใช้งานดาวน์โหลดแอปปลอมจากแอปสโตร์อย่างหลังไปติดตั้ง เครื่องของเหยื่อก็จะถูกรบกวนด้วยโฆษณาที่ไม่ต้องการ และแฮกเกอร์ก็จะได้รับส่วนแบ่งจากค่าโฆษณาในทันที ซึ่งแอปพลิเคชันปลอมที่เกี่ยวข้องกับแคมเปญนี้นั้น ทางทีมวิจัยพบว่ากำลังระบาดในแถบประเทศลาตินอเมริกา, ตุรกี, อินเดีย และอียิปต์

นอกจากแคมเปญการฉ้อโกงด้วยแอปพลิเคชันปลอมเพื่อส่งโฆษณาลงเครื่องของเหยื่อแล้ว แหล่งข่าวยังได้กล่าวถึงการหลอกลวงเพื่อขโมยข้อมูลบัตรเครดิตผ่านทางระบบ NFC (Near Field Communication) และการหลอกติดตั้งแอปพลิเคชันปลอมเพื่อขโมยข้อมูลบนระบบข้อความสั้น (SMS หรือ Short Message Service) อีกด้วย