Albiriox มัลแวร์บน Android ตัวใหม่ สามารถช่วยให้แฮกเกอร์เข้าคุมเครื่องได้สมบูรณ์

ระบบปฏิบัติการ Android กับมัลแวร์เรียกได้ว่าแทบจะเป็นของคู่กันไปแล้ว เพราะถึงแม้ตัว Android เองนั้นจะมีการอัปเดตเป็นประจำ ตัวมัลแวร์เองก็มีการพัฒนาอยู่ทุกวันเช่นเดียวกัน

จากรายงานโดยเว็บไซต์ Cyberpress ได้กล่าวถึงการตรวจพบมัลแวร์ไม่ทราบประเภทดูดเงินจากบัญชีธนาคารของเหยื่อ หรือ Banking Trojan ที่มีชื่อว่า Albiriox ที่มุ่งเน้นการโจมตีไปยังเครื่องที่ใช้ระบบปฏิบัติการ Android ซึ่งมัลแวร์ดังกล่าวนั้นถูกตรวจพบครั้งแรกในเดือนกันยายนที่ผ่านมา และได้เริ่มเป็นที่รู้จักในหมู่สาธารณชนในช่วงเดือนตุลาคม ซึ่งจากการตรวจสอบโดยทีมวิจัยจาก Cleafy บริษัทผู้เชี่ยวชาญด้านการจัดการกรณีฉ้อโกงออนไลน์ซึ่งได้ตรวจพบมัลแวร์ตัวดังกล่าวนั้นพบว่า จากหลักฐานหลายอย่างนั้นบ่งชี้ว่ามัลแวร์ตัวนี้ถูกพัฒนาโดยแฮกเกอร์ชาวรัสเซีย และมีการจัดจำหน่ายในรูปแบบมัลแวร์สำหรับเช่าใช้ หรือ MaaS (Malware-as-a-Service) ผ่านทางเว็บบอร์ดใต้ดิน โดยมีราคาเริ่มต้นที่ 650 ดอลลาร์สหรัฐ ต่อเดือน (20,691.13 บาท) ทำให้ตัวมัลแวร์มีอันตรายมากยิ่งขึ้น เนื่องจากอาชญากรไซเบอร์มือใหม่สามารถเข้าถึงตัวมัลแวร์ได้ง่ายเพียงแค่มีเงินสำหรับจ่ายค่าเช่าเท่านั้น

ภาพจาก : https://cyberpress.org/new-albiriox-android-malware/

ในด้านการโจมตีเครื่องของเหยื่อนั้น ตัวมัลแวร์จะใช้รูปแบบการฝังตัวแบบสองขั้นตอน (2-Stages Attack) โดยเริ่มต้นจากการที่แฮกเกอร์ทำการส่งลิงก์แอปพลิเคชันปลอมผ่านทางระบบข้อความสั้นบนโทรศัพท์มือถือ (SMS หรือ Short Message Service) ด้วยวิธีการหลอกลวงเหยื่อให้ติดตั้งด้วยการทำวิศวกรรมทางสังคม (Social Engineering) ซึ่งทางทีมวิจัยได้ยกตัวอย่างเหยื่อในประเทศออสเตรียที่ถูกหลอกให้ดาวน์โหลดแอปปลอมที่มีชื่อว่า “Penny Market” ผ่านทางหน้าเว็บไซต์ปลอมที่ถูกสร้างจนเหมือนหน้าจอดาวน์โหลดแอปจริงบน Google Play ซึ่งหลังจากที่ติดตั้งสำเร็จ ตัวแอปจะขออนุญาตสิทธิ์ (Permission) ในการติดตั้งแอปพลิเคชันเพิ่มเติม โดยถ้าอนุมัติ ก็จะนำไปสู่การติดตั้งไฟล์มัลแวร์ (Payload) ลงบนเครื่องของเหยื่อในท้ายที่สุด

สำหรับในส่วนการโจมตีเครื่องของเหยื่อนั้น ตัวมัลแวร์จะมีการใช้ 2 วิธีหลัก ๆ โดยวิธีแรกจะเป็นการใช้โมดูล (Module) ระบบการควบคุมเครื่องเสมือนการควบคุมจากเซิร์ฟเวอร์ หรือ VNC (Virtual Network Computing) ที่ช่วยให้แฮกเกอร์สามารถควบคุมเครื่องของเหยื่อตามเวลาจริง (Real-Time) ได้ และวิธีที่ 2 จะเป็นการหลอกขโมยรหัสผ่านของเหยื่อด้วยการใช้วิธีการซ้อนหน้าจอของแอปพลิเคชันเป้าหมาย (Overlay Attack) ซึ่งแอปพลิเคชันเหล่านั้นมักจะเป็นแอปพลิเคชันธนาคาร หรือ ด้านการเงิน ที่จากรายงานของทางทีมวิจัยพบว่ามีแอปพลิเคชันมากกว่า 400 ตัวที่ตกเป็นเป้าหมายของมัลแวร์ตัวนี้ ทำให้มัลแวร์ตัวนี้จัดได้ว่ามีอันตรายค่อนข้างสูง โดยการที่ตัวมัลแวร์นี้สามารถทำสิ่งขั้นต้นได้ถึงแม้ตัวแอปพลิเคชันธนาคารจะมีระบบรักษาความปลอดภัยแบบบล็อกหน้าจอไม่ให้ทำการบันทึกภาพ (Screenshot) ได้ ก็เนื่องมาจากตัวมัลแวร์นั้นมีการเข้าถึงโหมดช่วยเหลือผู้ใช้งานที่พิการ หรือ Accessibility Mode ทำให้สามารถเล็ดลอดระบบป้องกันดังกล่าวได้

นอกจากนั้นแล้ว ตัวมัลแวร์ยังมีการบรรจุเครื่องมือในการหลบเลี่ยงการตรวจจับของระบบรักษาความปลอดภัยบนเครื่องของเหยื่อจากการใช้เครื่องมือเข้ารหัส (Encryption) อย่าง Golden Crypt เพื่อให้ถูกตรวจจับจากเครื่องมือรักษาความปลอดภัยอย่างแอนตี้ไวรัสต่าง ๆ ได้ยากขึ้นอีกด้วย

ดังนั้น เพื่อความปลอดภัย ขอให้ผู้อ่านทุกรายอย่าหลงเชื่อลิงก์จาก SMS ที่ร้องขอให้ดาวน์โหลดแอป และให้ดาวน์โหลดจากแหล่งที่เชื่อถือได้เท่านั้น