ภัยใหม่บน Android! แอป Dropper ไม่ได้ปล่อยแค่โทรจันขโมยเงิน แต่แถมสปายแวร์และตัวดัก SMS มาด้วย
นักวิจัยด้านความปลอดภัยทางไซเบอร์ออกมาเตือนถึงแนวโน้มใหม่ที่น่ากังวลในวงการมัลแวร์บน Android โดยพบว่าแอปพลิเคชันประเภท "Dropper" ซึ่งโดยปกติแล้วจะถูกใช้เป็นเครื่องมือในการปล่อยมัลแวร์ประเภทโทรจันขโมยข้อมูลธนาคาร (Banking Trojan) ได้พัฒนาไปอีกขั้น โดยหันมาปล่อยมัลแวร์ที่เรียบง่ายกว่า แต่ก็อันตรายไม่แพ้กันอย่าง ตัวขโมยข้อความ SMS (SMS Stealers) และ สปายแวร์ (Spyware) พื้นฐานอีกด้วย
บริษัท ThreatFabric รายงานว่า แคมเปญเหล่านี้แพร่กระจายผ่านแอป Dropper ที่ปลอมตัวเป็นแอปของรัฐบาลหรือแอปธนาคารในประเทศอินเดียและภูมิภาคอื่นๆ ในเอเชีย
ทำไมแฮกเกอร์ถึงเปลี่ยนกลยุทธ์?
บริษัทด้านความปลอดภัยมือถือจากเนเธอร์แลนด์ชี้ว่า การเปลี่ยนแปลงนี้เป็นผลมาจากมาตรการรักษาความปลอดภัยใหม่ของ Google ที่เริ่มทดลองใช้ในบางประเทศ เช่น สิงคโปร์, ไทย, บราซิล และอินเดีย โดยระบบใหม่นี้จะบล็อกการติดตั้งแอปจากภายนอก (sideloading) ที่น่าสงสัย ซึ่งมีการขอ "สิทธิ์การเข้าถึงที่มีความเสี่ยงสูง" เช่น การเข้าถึงข้อความ SMS และบริการการเข้าถึง (AccessibilityServices) ซึ่งเป็นช่องทางที่แฮกเกอร์นิยมใช้ในการควบคุมเครื่อง
Google กล่าวว่า "ระบบป้องกันของ Google Play Protect โดยเฉพาะโปรแกรมนำร่อง (Pilot Program) ที่ตั้งเป้าหมายไว้ สามารถหยุดแอปอันตรายได้อย่างมีประสิทธิภาพมากขึ้น"
อย่างไรก็ตาม แฮกเกอร์ก็พยายามหาทางหลบเลี่ยงอยู่เสมอ ซึ่ง ThreatFabric ระบุว่านี่คือ "เกมตีตัวตุ่นที่ไม่มีวันจบสิ้น" ในโลกของความปลอดภัยไซเบอร์
กลยุทธ์ใหม่ของแฮกเกอร์
เพื่อหลบเลี่ยงโปรแกรมนำร่องของ Google แฮกเกอร์ได้ออกแบบแอป Dropper รุ่นใหม่โดยมีลักษณะดังนี้:
1.ตัวแอปไม่ขอสิทธิ์เสี่ยงสูงในตอนแรก: แอป Dropper จะแสดงเพียงหน้าจอ "อัปเดต" ที่ดูไม่มีพิษมีภัย เพื่อให้รอดพ้นจากการตรวจสอบเบื้องต้น
2.ซ่อนมัลแวร์ตัวจริงไว้: เมื่อผู้ใช้หลงเชื่อและกดปุ่ม "Update" เท่านั้น ตัวแอปถึงจะดาวน์โหลด "เพย์โหลด (payload)" หรือมัลแวร์ตัวจริงจากเซิร์ฟเวอร์ภายนอก3.ขอสิทธิ์ในภายหลัง: หลังจากดาวน์โหลดมัลแวร์ตัวร้ายมาแล้ว มันถึงจะเริ่มขอสิทธิ์การเข้าถึงที่จำเป็นเพื่อเริ่มทำงาน
ThreatFabric ชี้ว่า "แม้ Play Protect อาจจะแสดงคำเตือนเกี่ยวกับความเสี่ยง แต่ตราบใดที่ผู้ใช้กดยอมรับและติดตั้งต่อไป มัลแวร์ก็จะถูกส่งเข้ามาในเครื่องได้สำเร็จ นี่คือช่องโหว่ที่สำคัญ เพราะมัลแวร์ยังคงเล็ดลอดผ่านโปรแกรมนำร่องไปได้ หากผู้ใช้ยืนยันที่จะติดตั้ง"
ตัวอย่างมัลแวร์ที่พบ
RewardDropMiner: เป็น Dropper ที่นอกจากจะปล่อยสปายแวร์แล้ว ยังแอบติดตั้งโปรแกรมขุดเหรียญคริปโต Monero ซึ่งสามารถสั่งการจากระยะไกลได้ (แม้เวอร์ชันล่าสุดจะถอดฟังก์ชันนี้ออกไปแล้ว) โดยแอปที่ใช้ Dropper ตัวนี้มุ่งเป้าไปที่ผู้ใช้ในอินเดีย เช่น
PM YOJANA 2025- °RTO Challan
SBI Online- Axis Card
- Dropper อื่นๆ: ยังมี Dropper อีกหลายตัวที่ใช้เทคนิคคล้ายกันเพื่อหลบเลี่ยงการตรวจจับ เช่น
SecuriDropper,Zombinder,BrokewellDropper,HiddenCatDropperและTiramisuDropper
ท่าทีของ Google
โฆษกของ Google กล่าวกับ The Hacker News ว่า ยังไม่พบแอปที่ใช้เทคนิคเหล่านี้เผยแพร่ผ่าน Play Store และย้ำว่า Google Play Protect ยังคงช่วยปกป้องผู้ใช้ด้วยการตรวจสอบแอปโดยอัตโนมัติ ไม่ว่าแอปนั้นจะมาจากที่ใดก็ตาม และระบบได้มีการป้องกันมัลแวร์เวอร์ชันเหล่านี้อยู่แล้วก่อนที่จะมีรายงานออกมา
ภัยคุกคามยังไม่หมดแค่นั้น
ขณะเดียวกัน Bitdefender Labs ได้ออกมาเตือนถึงอีกแคมเปญหนึ่งที่ใช้โฆษณาอันตรายบน Facebook เพื่อหลอกล่อให้ผู้ใช้ดาวน์โหลดแอป TradingView เวอร์ชันพรีเมียมฟรี แต่แท้จริงแล้วกลับเป็นการติดตั้งโทรจันขโมยข้อมูลธนาคารเวอร์ชันอัปเกรดที่ชื่อว่า $Brokewell$ ซึ่งสามารถควบคุมและขโมยข้อมูลที่ละเอียดอ่อนจากเครื่องของเหยื่อได้
แคมเปญนี้ได้ยิงโฆษณาอันตรายไปแล้วไม่ต่ำกว่า 75 ตัว ตั้งแต่วันที่ 22 กรกฎาคม 2025 เข้าถึงผู้ใช้นับหมื่นรายในสหภาพยุโรป และยังพุ่งเป้าไปที่ผู้ใช้ Windows ผ่านโฆษณาแอปการเงินและคริปโตปลอมอีกด้วย
เรื่องนี้สะท้อนให้เห็นว่า อาชญากรไซเบอร์กำลังปรับเปลี่ยนกลยุทธ์อย่างต่อเนื่อง เพื่อหาประโยชน์จากพฤติกรรมของผู้ใช้ที่หันมาพึ่งพาแอปพลิเคชันด้านการเงินและคริปโตบนมือถือมากขึ้นเรื่อยๆ
#ดรกฤษฎาแก้ววัดปริง #ไทยสมาร์ทซิตี้ #SmartCity #DRKRIT #สมาร์ทซิตี้คลิก