มัลแวร์ Wonderland ปลอมตัวเป็นแอปพลิเคชันดังหลอกเข้าเครื่อง Android

การใช้งานระบบปฏิบัติการ Android นั้นถึงแม้จะมีอิสระในการใช้งานที่สูงจากการที่เป็นระบบเปิด แต่ก็ต้องยอมรับว่า นำไปสู่การพัฒนามัลแวร์ที่ง่าย ทำให้ผู้ใช้งานต้องตกอยู่ใต้ความเสี่ยงอย่างช่วยไม่ได้

จากรายงานโดยเว็บไซต์ The Hacker News กล่าวถึงการตรวจพบแคมเปญของการปล่อยมัลแวร์ที่มุ่งเล่นงานกลุ่มผู้ใช้งานโทรศัพท์มือถือที่ใช้งานระบบ Android ซึ่งมัลแวร์ที่เป็นประเด็นนี้เป็นมัลแวร์ประเภทเข้าขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer ที่มีชื่อว่า Wonderland ที่มีความสามารถในการขโมยข้อความสั้น หรือ SMS (Short Message Service) โดยกลุ่มแฮกเกอร์ที่มีชื่อว่า TrickyWonders ซึ่งมัลแวร์ตัวนี้ก็ไม่ใช่มัลแวร์ตัวใหม่เสียทีเดียว เพราะในอดีตที่ผ่านมานั้นเคยระบาดด้วยการแพร่กระจายไฟล์ติดตั้งแอปพลิเคชันปลอมในรูปแบบ APK แต่ภายในนั้นไม่ใช่แอปพลิเคชันแต่เป็นมัลแวร์ล้วน ๆ แต่ในคราวนี้ ตัวมัลแวร์ได้พัฒนาไปอีกครั้งด้วยการแอปแฝงในแอปพลิเคชันจริงที่มีการสอดไส้มัลแวร์นกต่อ (Dropper) เพื่อปล่อยลงสู่เครื่องของเหยื่อ ซึ่งทางทีมวิจัยจาก Group-IB บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ที่เป็นกลุ่มผู้ตรวจพบมัลแวร์ดังกล่าวได้เผยว่า ขณะนี้ตัวมัลแวร์กำลังระบาดอย่างหนักในประเทศอุซเบกิสถาน

ในการแพร่กระจายมัลแวร์นั้น จะเริ่มต้นจากการยิงโฆษณาผ่านทางโซเชียลมีเดียยอดนิยมอย่าง Facebook เพื่อล่อลวงให้เหยื่อกดเข้าลิงก์บนโฆษณาที่จะพาเหยื่อไปยังเว็บไซต์ปลอม ที่มีการตกแต่งหน้าตาของเว็บไซต์จนเหมือนกับเพจจริงของ Google Play Store ซึ่งเป็นแอปสโตร์อย่างเป็นทางการของ Android แล้วหลอกให้ดาวน์โหลดแอปพลิเคชันเวอร์ชันสอดไส้ลงบนโทรศัพท์มือถือของเหยื่อ โดยในขั้นตอนการหลอกลวงนี้ไม่ได้จำกัดอยู่เพียงแค่บน Facebook เท่านั้น แต่ยังมีการใช้บัญชีปลอมบนแอปแนวนัดพบ หรือ Dating App และบัญชีที่ถูกแฮกมาบนบริการแชท Telegram โดยบัญชีอย่างหลังนี้แฮกเกอร์ได้มาจากการซื้อบัญชีที่โดนขโมยมาที่ถูกวางขายอยู่ในตลาดมืดมาอีกที 

หลังจากที่ติดตั้งแอปพลิเคชันสอดไส้มัลแวร์ลงบนเครื่องแล้ว ก็จะนำไปสู่การใช้งานตัว Dropper ซึ่งอาจเป็น MidnightDat หรือ RoundRift ก็ได้ โดย Dropper ทั้ง 2 ตัวนี้จะมาในคราบของคำขอร้องให้อัปเดตแอป อย่างเช่น "Install the update to use the app" (กรุณาอัปเดตเพื่อใช้งานแอปพลิเคชัน) ซึ่งการอัปเดตดังกล่าวจะนำไปสู่การดาวน์โหลดไฟล์มัลแวร์ตัวจริง หรือ Payload ลงมาติดตั้งลงบนเครื่องของเหยื่อในท้ายที่สุด

ภาพจาก : https://thehackernews.com/2025/12/android-malware-operations-merge.html

ภายหลังจากที่ตัวมัลแวร์ Wonderland ถูกติดตั้งลงบนเครื่องของเหยื่อเสร็จเรียบร้อยแล้ว ตัวมัลแวร์ก็จะขอสิทธิ์ในการเข้าถึงข้อความ SMS ในทันที ซึ่งถ้าเหยื่อกดมอบสิทธิ์ให้ไป ก็จะนำไปสู่การขโมยข้อความต่าง ๆ ภายในกล้องข้อความ SMS โดยเฉพาะอย่างยิ่งข้อความรหัสผ่านแบบใช้ครั้งเดียว หรือ OTP (One-Time Password) ซึ่งข้อมูล OTP นั้นจะถูกนำไปใช้ในการขโมยเงินจากบัญชีธนาคารของเหยื่อผ่านแอปธนาคารที่ถูกติดตั้งอยู่บนเครื่อง ซึ่งความสามารถในการเข้าถึงกล่องข้อความ SMS นี้ยังไม่จบแค่การขโมยข้อมูลเท่านั้น แต่ยังสามารถใช้ในการส่ง SMS ปลอมไปหาเหยื่อรายอื่น ๆ ที่อยู่บนบัญชีผู้ติดต่อ (Contacts) บนเครื่องของเหยื่อได้อีกด้วย

นอกจากนั้นยังมีความสามารถอื่น ๆ อีกมากมาย ทั้งการขโมยรายชื่อผู้ติดต่อแล้วแอบส่งกลับไปให้แฮกเกอร์ (Exfiltration), การซ่อนการแจ้งเตือน (Notification) บนเครื่อง, การแอบใช้เบอร์ของเหยื่อเพื่อล็อกอินเข้าใช้งาน Telegram ในการเอาไปใช้งานในการแพร่มัลแวร์ต่อ, และในส่วนการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ยังเป็นการติดต่อแบบ 2 ทาง หรือ Bidirection ทำให้ทั้งการรับส่งข้อมูล และการควบคุมมัลแวร์มีความเปี่ยมประสิทธิภาพ ซึ่งสำหรับเซิร์ฟเวอร์ C2 นั้นก็มีการเปลี่ยนโดเมนที่บ่อยครั้งเพื่อหลีกเลี่ยงการถูกตรวจจับและถูกบันทึกลงรายชื่อต้องห้าม (Blacklist) ทำให้การทลายเครือข่ายของมัลแวร์ตัวนี้ทำได้ยาก เรียกได้ว่าเป็นมัลแวร์ที่มีความร้ายกาจเป็นอย่างยิ่ง

นอกจากนั้นทางแหล่งข่าวยังได้มีการกล่าวถึงมัลแวร์ในรูปแบบที่คล้ายกันอย่าง Cellik อีกด้วย ซึ่งมัลแวร์ตัวนี้ทางทีมข่าวได้เคยรายงานไปแล้วในช่วงสัปดาห์ที่ผ่านมา ผู้สนใจสามารถย้อนอ่านจากข่าวที่มีมาก่อนหน้านี้ได้ ที่นี่