เตือนภัย! มัลแวร์ Android สายพันธุ์ใหม่ "Wonderland" เนียนเป็นแอปดัง สั่งการผ่าน Telegram ดูดเงินเกลี้ยง
กลยุทธ์ "หน้าฉากแสนดี หลังฉากสุดร้าย"
มัลแวร์ตัวนี้มีชื่อว่า "Wonderland" (หรือชื่อเดิม WretchedCat) มันจะแฝงตัวมาในรูปแบบแอปที่ดูไม่มีพิษมีภัย เช่น
- แอปเลียนแบบ Google Play Store
- ไฟล์วิดีโอ หรือ รูปภาพ
- แม้กระทั่ง "การ์ดเชิญงานแต่งงาน" ออนไลน์
ขบวนการ "TrickyWonders" สั่งการผ่าน Telegram
เบื้องหลังความแสบนี้คือกลุ่มที่ชื่อว่า TrickyWonders ครับ พวกเขาใช้ Telegram เป็นศูนย์บัญชาการหลัก โดยมัลแวร์ Wonderland สามารถทำได้สารพัดนึก ไม่ว่าจะเป็น
- ขโมย SMS: ดักจับรหัส OTP เพื่อเอาไปทำธุรกรรมการเงิน
- ขโมยเบอร์และรายชื่อติดต่อ: เพื่อส่งมัลแวร์ต่อไปยังคนรู้จักของเรา (สร้างวงจรการติดเชื้อแบบไม่สิ้นสุด)
- ปลอมหน้าจอ: ซ่อนการแจ้งเตือนจากธนาคาร ไม่ให้เรารู้ตัวว่าเงินกำลังไหลออก
- Remote Control: สั่งการโทรศัพท์เราจากระยะไกลผ่านระบบ C2 (Command-and-Control)
นอกจาก Wonderland แล้ว ยังมีมัลแวร์ตัวอื่นๆ อย่าง Cellik, Frogblight และ NexusRoute ที่กำลังระบาดหนักในต่างประเทศ ความน่ากลัวคือตอนนี้ใครๆ ก็เป็นอาชญากรไซเบอร์ได้ เพราะมี "ชุดคิตมัลแวร์สำเร็จรูป" ขายในตลาดมืด เช่น Cellik ที่มีฟีเจอร์ "คลิกเดียวสร้างแอปปลอม" สามารถหยิบแอปดีๆใน Play Store มาห่อไส้ในเป็นมัลแวร์ได้ทันที
วิธีป้องกันที่ดีที่สุดคือ "อย่าติดตั้งแอปนอกเหนือจาก Store หลัก" และอย่ากดอนุญาต (Permission) อะไรสุ่มสี่สุ่มห้า โดยเฉพาะหน้าจอที่เด้งขึ้นมาบอกให้ "อัปเดตเพื่อใช้งานต่อ" ทั้งที่ยังไม่ได้ทำอะไร เพราะนั่นคือประตูบานแรกที่โจรจะใช้เข้าบ้านเรา
สรุปประเด็นสำคัญ
- มัลแวร์ยุคใหม่เน้นการพรางตัว (Dropper) เพื่อหลบเลี่ยงระบบแอนตี้ไวรัส
- มุ่งเป้าขโมย OTP และควบคุมเครื่องผ่าน Telegram
- ระบาดหนักผ่านโฆษณา Facebook, แอปหาคู่ และแอปแชท