มัลแวร์ "Oblivion" ใช้มุขอัปเดตปลอมเข้าควบคุมมือถือ Android ยี่ห้อดัง เช่น Samsung และ Xiaomi

อุปกรณ์ที่ใช้ระบบปฏิบัติการแบบ Android เรียกได้ว่าเป็นของที่คู่กับมัลแวร์มาแต่ไหนแต่ไร และเลี่ยงได้ยากเนื่องจากเป็นระบบเปิดที่ใคร ๆ ก็สามารถพัฒนาแอปพลิเคชันได้ง่ายกว่าคู่แข่งอย่าง iOS จาก Apple ทำให้มีมัลแวร์มากขึ้นไปตามตัว และนี่ก็เป็นมัลแวร์ตัวใหม่อีกตัวที่ต้องระวัง

จากรายงานโดยเว็บไซต์ Hackread ได้กล่าวถึงการตรวจพบมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ตัวใหม่ที่มุ่งเล่นงานกลุ่มผู้ใช้งานอุปกรณ์ที่ใช้ระบบปฏิบัติการ Android ชื่อว่า Oblivion ถูกวางขายอยู่ในตลาดมืดในรูปแบบมัลแวร์สำหรับเช่าใช้งาน หรือ MaaS (Malware-as-a-Service) ในราคา 300 ดอลลาร์สหรัฐ (9,551.70 บาท) ต่อเดือน นอกจากนั้นยังมีการขายแบบแพคเกจอื่น ๆ ด้วย อย่าง

• ตลอดชีพในราคา 2,200 ดอลลาร์สหรัฐ (70,051.30 บาท)
• 6 เดือน ที่ราคา 1,300 ดอลลาร์สหรัฐ (41,393.95 บาท)
• 3 เดือน ที่ราคา 700 ดอลลาร์สหรัฐ (22,290.45  บาท)

ซึ่งสิ่งที่น่ากังวลใจคือ มัลแวร์ตัวนี้ไม่ได้ถูกวางขายในอินเทอร์เน็ตมืด หรือ Dark Web แต่เป็นการวางขายบนเว็บไซต์ปกติอย่างโจ่งครึ่ม ทำให้ผู้ใช้งานที่มี URL เว็บไซต์ที่ถูกต้องก็สามารถเข้าไปซื้อมาใช้งานได้ทันที นอกจากนั้นตัวมัลแวร์ยังถูกออกแบบมาให้ใช้งานได้ง่าย แม้แต่ในกลุ่มผู้ใช้งานมือใหม่อีกด้วย โดยทางผู้จัดจำหน่ายได้โอ้อวดว่า มัลแวร์ตัวนี้ถูกทดสอบมาอย่างยาวนานถึง 4 เดือนก่อนการวางจำหน่าย และยืนยันได้ว่าระบบการตรวจจับพฤติกรรมมัลแวร์ หรือ Behavioural Detection ไม่สามารถตรวจจับมัลแวร์ตัวนี้ได้อย่างแน่นอน ทั้งยังมีเครื่องมือสำหรับการสร้างแอปปลอม หรือ APK Builder เพื่อใช้สร้างตัวติดตั้งเลียนแบบแอปพลิเคชันของทาง Google อย่าง Google Services ได้ในการคลิ๊กแค่ไม่กี่คลิ๊ก นอกจากนั้นในส่วนของระบบควบคุมมัลแวร์นั้นยังสามารถรองรับการจัดการเหยื่อได้มากสุดถึง 1,000 รายในครั้งเดียวอีกด้วย

โดยการทำงานของมัลแวร์ตัวนี้จะรองรับการทำงานบน Android ตั้งแต่รุ่นที่ 8 จนถึงรุ่น 16 ซึ่งเป็นรุ่นล่าสุด ทั้งยังสามารถฝ่าระบบป้องกันของ Android เวอร์ชันเฉพาะตัวของโทรศัพท์มือถือแบรนด์ดังต่าง ๆ มากมาย เช่น

• HyperOS และ MIUI ของ Xiaomi
• ColorOS ของ OPPO
• MagicOS ของ Honor
• One UI ของ Samsung
• OxygenOS ของ OnePlus

ซึ่งการทำงานของมัลแวร์นั้น หลังจากที่เหยื่อทำการติดแอปพลิเคชันปลอมซึ่งทำงานในรูปแบบมัลแวร์นกต่อ หรือ Loader ที่ถูกสร้างตามขั้นตอนที่กล่าวไว้ข้างต้นลงไป แทนที่จะแสดงหน้าจอเด้ง หรือ Pop Up แบบมัลแวร์ตัวอื่น ๆ กลับใช้วิธีการที่เนียนกว่านั้น นั่นคือ การแจ้งเตือนว่า Google Play (แอปพลิเคชันสำหรับใช้งานแอปสโตร์อย่างเป็นทางการของ Android) มีการอัปเดตให้กดเพื่อติดตั้ง ซึ่งถ้าเหยื่อกดอัปเดต แทนที่จะเป็นการอัปเดตตัว Google Play จริง ๆ กลับเป็นการมอบสิทธิ์ในการเข้าสู่ระบบ (Permission) แบบเต็มรูปแบบให้กับมัลแวร์ รวมถึงความสามารถในการเข้าใช้งานโหมดช่วยเหลือผู้ใช้งานที่พิการ หรือ Accessibility Mode แบบเบ็ดเสร็จ

ภาพจาก : https://hackread.com/android-malware-oblivion-fake-updates-hijack-phones/

หลังจากที่มัลแวร์ได้รับสิทธิ์อย่างเบ็ดเสร็จแล้ว ก็จะเริ่มทำการขโมยข้อมูลต่าง ๆ เช่น ข้อความในกล่องข้อความสั้น (SMS หรือ Short Message Service) เพื่อค้นหา และขโมยรหัสเข้าใช้งานบริการธนาคาร รวมทั้งใช้งานเครื่องมือตรวจจับการพิมพ์ของเหยื่อ (Keylogger) เพื่อขโมยรหัสผ่าน และเลข PIN (รวมถึงรหัส PIN ปลดล็อกหน้าจอ) ไม่เพียงเท่านั้น แฮกเกอร์ยังสามารถสั่งการปลดล็อกเครื่องจากระยะไกลหลังจากที่เหยื่อรีสตาร์ทเครื่องได้อีกด้วย