พบมัลแวร์ Keenadu ถูกติดตั้งจากโรงงานผู้ผลิตแท็บเล็ต Android สามารถแฮกแอปต่าง ๆ บนเครื่องได้

การใช้อุปกรณ์ Android นั้นส่วนมากความเสี่ยงจากการติดมัลแวร์มักจะมาจากการนำเอาตัวเองไปอยู่ในภาวะเสี่ยง หรือ เผลอดาวน์โหลดมาเอง ทว่าในส่วนน้อยแต่อันตรายสูงนั้น กลับมาจากการแอบฝังมัลแวร์ลงไปในขั้นตอนผลิต หรือขนส่ง ก่อนที่จะถือมือผู้ซื้อซึ่งเรียกว่าการโจมตีห่วงโซ่อุปทาน หรือ Supply Chain Attack ที่ได้มาเป็นข่าวอีกครั้งในครั้งนี้

จากรายงานโดยเว็บไซต์ PC Mag ได้กล่าวถึงการที่ทางทีมวิจัยจาก Kaspersky บริษัทผู้พัฒนาแอนตี้ไวรัสชื่อดัง ออกมาเปิดเผยถึงการตรวจพบมัลแวร์ประเภทเปิดประตูหลังของระบบ หรือ Backdoor ที่มีชื่อว่า Keenadu ซึ่งสามารถช่วยให้แฮกเกอร์สามารถเข้าถึง และควบคุมเครื่อง รวมทั้งเข้าดัดแปลงแอปพลิเคชันใด ๆ ที่ถูกเปิดใช้งานบนเครื่อง โดยมัลแวร์ตัวนี้ฝังตัวอยู่ภายในเฟิร์มแวร์ (Firmware) ของแท็บเล็ตที่ใช้ระบบปฏิบัติการ Android มากกว่า 13,000 เครื่องทั่วโลกทั้งในแถบทวีปยุโรป, ประเทศญี่ปุ่น, บราซิล และอีกหลากประเทศ ซึ่งทางทีมวิจัยได้สันนิษฐานว่า อาจมีผู้ไม่ประสงค์ดีแอบโหลดโค้ดมัลแวร์เข้าไปบนเฟิร์มแวร์ในขั้นตอนการผลิต หรือขั้นตอนการเตรียมเฟิร์มแวร์เพื่ออัปเดต อันเป็นวิธีการที่เรียกว่าเป็นการทำ Supply Chain Attack

ทว่าก็ไม่ต้องกังวลใจกันมากเกินไป เพราะแท็บเล็ตที่ได้รับผลกระทบนั้นไม่ใช่แบรนด์ดังที่นิยมใช้งานกัน แต่เป็นแบรนด์จากจีนที่มีชื่อว่า Alldocube ซึ่งเป็นแบรนด์สินค้าราคาถูก ทำเลียนแบบยี่ห้อดัง โดยตัวสินค้าของแบรนด์นั้นเคยวางจำหน่ายอยู่บนเว็บไซต์ Amazon และในปัจจุบันได้ย้ายมาจำหน่ายบนเว็บไซต์ Aliexpress แทน ซึ่งเมื่อตรวจสอบตัวเครื่องแท็บเล็ต Alldocube iPlay 50 mini Pro ที่มีการใช้เฟิร์มแวร์ปี ค.ศ. 2023 (พ.ศ. 2566) ก็พบว่ามีเฟิร์มแวร์ฝังอยู่มาตั้งแต่ช่วงนั้นแล้ว นอกจากนั้นทางทีมวิจัยก็ยังพบอีกว่า เฟิร์มแวร์รุ่นต่อจากรุ่นปีที่กล่าวมาของแท็ปเล็ตตัวนี้ ล้วนแต่มีมัลแวร์แฝงตัวอยู่ทั้งหมด

ทางทีมวิจัยได้เปิดเผยถึงศักยภาพอันร้ายกาจของมัลแวร์ตัวนี้ว่า ตัวมัลแวร์สามารถแพร่กระจายลงแอปพลิเคชันทุกตัวที่ติดตั้งบนเครื่องได้ทั้งหมด เพราะเพียงแค่กดติดตั้งจากไฟล์ติดตั้งแบบ APK (Android Package Kit) ก็จะถือว่าเป็นการมอบสิทธิ์ (Permission) ให้กับมัลแวร์เข้าถึงได้เป็นที่เรียบร้อยแล้ว ส่งผลให้ข้อมูลต่าง ๆ เช่น รหัสผ่าน, บัญชีธนาคาร, ข้อความต่าง ๆ ถูกแฮกเกอร์ขโมยได้ทั้งหมด นอกจากนั้นยังถอนการติดตั้งได้ยากอีกด้วยเนื่องจากฝังตัวมากับเฟิร์มแวร์ของเครื่อง แต่ถึงจะมีศักยภาพมาก สิ่งที่ทางทีมวิจัยพบกลับพบว่า กิจกรรมของมัลแวร์ในปัจจุบันมีเพียงแค่การคอยส่งโฆษณาปลอม (Ads Fraud) ให้กับเหยื่อเท่านั้น

ภาพจาก : https://www.pcmag.com/news/preinstalled-keenadu-android-malware-can-hack-apps-you-launch-on-a-device

นอกจากมัลแวร์ที่ติดมากับเครื่องจากโรงงานแล้ว ทางทีมวิจัยยังพบว่ามัลแวร์ตัวนี้มีการแฝงตัวอยู่บนแอปพลิเคชันสำหรับการจัดการกล้องสมาร์ทโฮม (Smart Home Camera) ที่มีให้ดาวน์โหลดบนแอปสโตร์อย่างเป็นทางการของ Android อย่าง Google Play Store อีกด้วย โดยมีผู้ดาวน์โหลดมากกว่า 3 แสนราย ซึ่งตัวมัลแวร์บนแอปพลิเคชันตัวนี้นั้นจะมีศักยภาพที่ต่ำกว่า ซึ่งจะทำหน้าที่แค่เปิดเว็บเบราว์เซอร์ที่มองไม่เห็นเพื่อปล่อยโฆษณาปลอมให้เหยื่อเท่านั้น แต่ที่น่าสังเกตคือ ตัวมัลแวร์จะไม่ทำงานถ้าไม่เข้าเงื่อนไขที่เหมาะสม เช่น ไม่มีการตั้งค่าใช้งานภาษาจีนเป็นภาษาหลักบนเครื่อง, ไม่ได้ใช้งานอยู่ในเขตเวลา (Time Zone) ของประเทศจีน, และไม่มีการติดตั้ง Google Play Store อยู่บนเครื่อง แต่ก็ยังเป็นข่าวดีคือ ทาง Google ได้ทำการลบแอปพลิเคชันนี้จากแอปสโตร์เป็นที่เรียบร้อยแล้ว

ทางทีมวิจัยยังได้เตือนอีกว่า ขอให้ผู้อ่านเลือกใช้งานอุปกรณ์ต่าง ๆ จากผู้พัฒนาที่มีชื่อเสียง และหลีกเลี่ยงการสั่งซื้อเครื่องราคาถูกจากผู้พัฒนาที่ชื่อแบรนด์ไม่เป็นที่รู้จักจากตลาดมืด เพื่อความปลอดภัยของผู้ใช้งานจากมัลแวร์ที่ติดตั้งมากับเครื่อง

สำหรับคนที่ใช้งานแท็ปเล็ตยี่ห้อดังกล่าวอยู่ ซึ่งในไทยก็น่าจะมีจำนวนอยู่ไม่น้อย ล่าสุดได้มีประกาศปล่อยเฟิร์มแวร์ที่ได้รับการแก้ไขออกมาให้อัปเดตแล้ว ใครใช้งานอยู่ก็เข้าไปจัดการให้เรียบร้อยล่ะ