พบส่วนขยายปลอมบน Chrome กว่า 150 ตัว ขโมยใช้งานบัญชี WhatsApp เวอร์ชั่น Web ได้

การใช้งาน WhatsApp นั้น ถึงแม้ในไทยจะไม่เป็นที่นิยมเท่ากับ LINE แต่ในระดับโลกแล้วก็นับว่าเป็นบริการและแอปพลิเคชันสำหรับการส่งข้อความ หรือ แชท ได้รับความนิยมเป็นลำดับต้น ๆ ของโลก ที่ผู้ใช้งานไม่ได้มีแต่ผู้ใช้บริการทั่วไปเท่านั้น แต่ยังครอบคลุมกลุ่มธุรกิจต่าง ๆ อีกด้วย ทำให้บริการนี้ตกเป็นเป้าหมายลำดับต้น ๆ สำหรับแฮกเกอร์ไปในเวลาเดียวกัน

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบส่วนเสริม หรือ Extension ของเว็บเบราว์เซอร์ Chrome ปลอมแฝงมัลแวร์มากถึง 131 ตัวที่ปลอมตัวเป็นส่วนเสริมสำหรับการตั้งค่าให้แอปพลิเคชันแชท WhatApp บนเวอร์ชันเว็บไซต์ (Web App) สามารถทำงานได้อย่างอัตโนมัติ (Automation) แต่แท้จริงแล้วเป็นเครื่องมือสำหรับการยิงสแปม (Spam) อัตโนมัติผ่านทาง WhatsApp Web App โดยทางทีมวิจัยจาก Socket บริษัทนักพัฒนาโซลูชันด้านความปลอดภัยไซเบอร์ ได้กล่าวว่า Extension ปลอมที่ตรวจพบนั้นไม่ได้มีฟังก์ชันเหมือนมัลแวร์ตามปกติ แต่ทำงานเหมือนกับเครื่องมือส่งสแปมอัตโนมัติ หรือ Spam Automation มากกว่า ซึ่งตัว Extensions ปลอมจะใช้การยิงโค้ดของตัวมันเอง (Code Injection) ลงบนหน้าเพจ WhatsApp เวอร์ชัน Web โดยตรง ซึ่งจะเป็นการรันไปพร้อมกับตัวสคริปท์ของ WhatsApp เอง โดยตัว Extensions จะมีการกำหนดรายชื่อผู้รับสแปมแบบจำนวนมาก (Bulk) พร้อมทั้งมีการตั้งเวลาการทำงาน (Task Schedule) ในรูปแบบเพื่อการหลีกเลี่ยงการถูกตรวจจับโดยระบบต่อต้านการสแปม (Anti-Spamming) ของทาง WhatsApp ซึ่ง Extensions ปลอมเหล่านี้จะมุ่งเล่นงานกลุ่มผู้ใช้งาน WhatsApp เชิงธุรกิจในประเทศบราซิลเป็นหลัก

ทางทีมวิจัยได้เผยว่า ณ ปัจจุบันตัวส่วนเสริมปลอมนั้นมีผู้หลงดาวน์โหลดไปรวมทั้งหมดแล้วมากถึงหลักหมื่นราย โดยมีผู้ที่ใช้งานอยู่ (Active User) มากถึง 20,905 เมื่อรวมปริมาณจากทั้ง 131 Extensions ทั้งหมดที่ตรวจพบ ซึ่งเมื่อสืบไปลึก ๆ แล้ว ถึงแม้หน้าฉากของตัว Extensions จะมีการตั้งชื่อ และมีการใช้โลโก้ที่แตกต่างกัน แต่เบื้องหลังนั้นส่วนมากมักถูกเผยแพร่ (Publish) ภายใต้ชื่อผู้จัดจำหน่าย (หรือ ผู้พัฒนา) ที่ใช้ชื่อว่า "WL Extensão" หรือในบางครั้งอาจใช้ชื่อที่ใกล้เคียงกันอย่าง "WLExtensao" ซึ่งการใช้ชื่อที่ต่างกันนี้ ทางทีมวิจัยคาดการณ์ว่า อาจเป็นการทำงานของแฮกเกอร์ในระบบแฟรนไชส์ (Franchise) ที่เปิดโอกาสให้กลุ่มผู้ที่เข้ามาร่วมปฏิบัติการนั้น สามารถทำการ “ฟลัด” (Flood หรือการระดมส่งตัวแอปพลิเคชันปลอมลงสู่เว็บสโตร์) ตัว Extension ปลอมที่ที่ถูกพัฒนาโดย DBX Tecnologia ลงสู่ Chrome Web Store ซึ่งทางทีมวิจัยได้เปิดเผย Extension บางส่วนพร้อมจำนวนผู้ใช้งาน ดังนี้

• YouSeller (10,000 users)
• performancemais (239 users)
• Botflow (38 users)
• ZapVende (32 users)

โดยส่วนเสริมปลอมเหล่านี้จะอ้างว่า ตัวส่วนเสริมนั้นเป็นเครื่องมือสำหรับการบริหารความสัมพันธ์ระหว่างองค์กรกับลูกค้า หรือ CRM (Customer Relation Management) สำหรับใช้งานร่วมกับ WhatsApp ขณะเดียวกัน สำหรับในส่วนของบริษัทนักพัฒนาส่วนเสริมปลอมดังกล่าวอย่าง DBX Tecnologia ทางทีมวิจัยก็ได้เปิดเผยว่า บริษัทดังกล่าวนั้นเป็นบริษัทที่ให้บริการพัฒนาแอปพลิเคชันแบบ White-Label หรือ การพัฒนาแบบไม่ติดแบรนด์หรือยี่ห้อไว้ล่วงหน้า เปิดโอกาสให้คู่ค้า (Partner) สามารถปะแบรนด์ของตัวเองได้ตามความต้องการ ซึ่งทางบริษัทเคยโฆษณาการันตีว่า เพียงคู่ค้าลงทุนสร้างแอปพลิเคชันกับทางบริษัทด้วยเงินลงทุนเพียง 12,000 เรอัลบราซิล (72,075 บาท) จะสามารถทำรายได้มากถึง 30,000 เรอัลบราซิล (180,246 บาท) ถึง 84,000 เรอัลบราซิล (504,557 บาท) เลยทีเดียว

ทางทีมวิจัยกล่าวว่า แนวทางการพัฒนาเช่นนั้นเป็นการขัดกับกฎข้อบังคับของทาง Chrome Web Store ว่าด้วยการต่อต้านการสแปม อย่างชัดเจน ที่มีการห้ามไม่ให้นักพัฒนาและคู่ค้าระดมส่งส่วนเสริม หรือ แอปพลิเคชันที่มีฟังก์ชันการทำงานที่คล้ายคลึงกันแทบทุกประการ และที่อุกอาจมากไปกว่านั้น ทางทีมวิจัยยังพบว่า บริษัท DBX Tecnologia ยังได้เคยอัปโหลดวิดีโอคลิปว่าด้วยการฝ่าระบบป้องกันการต่อต้านการสแปมของ WhatsApp ขึ้นบนแพลตฟอร์มวิดีโอยอดนิยมอย่าง Youtube อีกด้วย