มัลแวร์ DroidLock สามารถสั่งล็อกเครื่อง Android
เอาแล้ว มัลแวร์ DroidLock สามารถสั่งล็อกเครื่อง Android เพื่อเรียกค่าไถ่เหยื่อ
มัลแวร์ที่จับเครื่อง หรือไฟล์เรียกค่าไถ่ หรือ Ransomware นั้น มักจะใช้วิธีการเข้ารหัส (Encryption) เพื่อล็อกไฟล์ บีบบังคับให้เจ้าของเครื่องทำการจ่ายเงินค่าไถ่ แต่สำหรับกรณีนี้ กลับมีความต่างออกไป
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแคมเปญมัลแวร์ตัวใหม่ที่มุ่งเน้นไปยังกลุ่มผู้ใช้งานโทรศัพท์มือถือบนระบบปฏิบัติการ Android ในแถบประเทศที่ใช้ภาษาสเปน ซึ่งมัลแวร์นี้มีชื่อว่า DroidLock จากความสามารถพิเศษในการเข้าล็อกเครื่องที่ติดมัลแวร์และเรียกค่าไถ่ได้ โดยถึงแม้ตัวมัลแวร์ดังกล่าวนั้นแหล่งข่าวจะไม่ได้มีการบอกประเภทที่ชัดเจน แต่มีพฤติกรรมการทำงานที่คล้ายคลึงกับ Ransomware ตามที่กล่าวมาข้างต้น นอกจากนั้นตัวมัลแวร์ยังมีความสามารถในการเข้าควบคุมเครื่อง และการขโมยข้อมูลที่มากมายอีกด้วย ทำให้สามารถทำอันตรายได้กับอุปกรณ์ทั้งในระดับผู้ใช้งานทั่วไป และในระดับผู้ใช้งานเชิงองค์กร
การตรวจพบดังกล่าวนั้นเป็นฝีมือของทีมวิจัยจาก Zimperium บริษัทผู้เชี่ยวชาญด้านความปลอดภัยบนโทรศัพท์มือถือ โดยทางทีมวิจัยได้เปิดเผยว่า ตัวมัลแวร์ดังกล่าวจะทำการแอบอ้างตัวเองเป็นตัวติดตั้งแอปพลิเคชันชื่อดังต่าง ๆ ซึ่งหลังจากที่ทำการติดตั้งลงเครื่องของเหยื่อแล้ว ตัวแอปพลิเคชันจะทำหน้าที่เป็นมัลแวร์นกต่อ (Dropper) โดยจะทำการขอสิทธิ์ในการเข้าถึงระบบในระดับผู้ดูแลระบบ (Admin หรือ Administrator) และสิทธิ์ในการใช้งานโหมดสำหรับช่วยเหลือผู้พิการ หรือ Accesibility Mode แล้วจึงทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ผ่านทาง 2 ช่องทาง นั้นคือ HTTP และ WebSocket ทำให้ตัวมัลแวร์สามารถทำงานทั้งการส่งข้อมูลที่ขโมยมาได้กลับไปให้แฮกเกอร์ และรับคำสั่งจากทางเซิร์ฟเวอร์ไปพร้อมกันได้ตามเวลาจริง อย่างไร้สะดุด
ทางทีมวิจัยยังได้เปิดเผยถึงความสามารถในการขโมยข้อมูลบนเครื่องที่เรียกได้ว่า คล้ายคลึงกับมัลแวร์ประเภทขโมยเงินจากบัญชีธนาคาร หรือ Banking Trojan เป็นอย่างมาก เช่น
การใช้ตัวจับการวาดมือ (Pattern) ที่ใช้ในการปลดล็อกเครื่อง หรือ แอปพลิเคชันธนาคาร โดยตัวจับนี้จะเชื่อมต่อกับโค้ดมัลแวร์โดยตรง โดยจะเปิดใช้งานทันทีที่มีการปลดล็อกหน้าจอ หรือใช้งานแอปธนาคาร ซึ่งจะทำการซ้อนหน้าจอสำหรับการปลดล็อกจริงในรูปแบบการโจมตีแบบ Overlay Attacks
การขโมยข้อมูลด้วยการซ้อนหน้าจอแอปพลิเคชันปลอม ด้วยการใช้งานโค้ดหน้าจอแบบ HTML (แหล่งข่าวไม่ได้บอกว่าใช้อะไรเปิดโค้ด แต่คาดว่าจะเป็นการทำงานผ่าน WebView) โดยตัวโค้ดจะทำการซ้อนหน้าจอเลียนแบบแอปพลิเคชันธนาคารเพื่อหลอกขโมยรหัสเข้าใช้งาน ซึ่งตัวมัลแวร์จะทำการเปรียบเทียบตัวแอปพลิเคชันที่เปิด กับรายชื่อที่มี ซึ่งถ้าตรงกันตัวมัลแวร์จะทำการดึงข้อมูลหน้าจอปลอมที่คล้ายกับแอปดังกล่าว เปิดซ้อนขึ้นมา
ไม่เพียงเท่านั้น ตัวมัลแวร์ยังสามารถใช้เครื่องมือบันทึกหน้าจอเพื่อทำการเก็บข้อมูลสำคัญต่าง ๆ เช่น รหัสผ่าน, รหัสใช้ครั้งเดียว (OTP หรือ One-Time Password) และรหัสยืนยันตัวตน (Authentication Code) ทั้งยังใช้กล้องเพื่อแอบถ่ายภาพผู้ใช้งานได้อีกด้วย
และความสามารถที่ร้ายกาจที่สุดอันเป็นที่มาของชื่อ นั่นคือการล็อกหน้าจอพร้อมกับหน้าจอเรียกค่าไถ่ว่า ถ้าผู้ใช้งานไม่จ่ายเงินภายในเวลาที่กำหนดไว้ จะทำการลบข้อมูลทั้งหมดบนเครื่อง โดยสิ่งที่มัลแวร์ตัวนี้แตกต่างจากแรนซัมแวร์ทั่วไปนั้นก็คือ ตัวมัลแวร์ไม่จำเป็นต้องเข้ารหัส (Encryption) เพื่อล็อกไฟล์แต่อย่างใด เนื่องจากตัวมัลแวร์สามารถเข้าถึงการใช้งานฟีเจอร์�คืนค่าเริ่มต้นจากโรงงาน หรือ Factory Reset ที่จะส่งผลให้เครื่องกลับไปเป็นสภาพเหมือนซื้อมาใหม่และไม่มีข้อมูลใด ๆ อยู่ภายในเครื่องได้ในทันทีที่เหยื่อไม่ทำตามเงื่อนไข
จากประสบการณ์ที่ติดตามข่าวและศึกษาปัญหาด้านความปลอดภัยบนโทรศัพท์มือถือ พบว่า มัลแวร์ DroidLock มีลักษณะพิเศษตรงที่ใช้วิธีการล็อกเครื่องและบังคับให้เหยื่อต้องจ่ายค่าไถ่ โดยไม่เข้ารหัสข้อมูลเหมือน Ransomware ทั่วไป แต่ใช้วิธีเข้าถึงสิทธิ์ระดับผู้ดูแลระบบและโหมดช่วยเหลือผู้พิการเพื่อควบคุมการทำงานของเครื่องอย่างเต็มรูปแบบ สิ่งที่น่ากลัวคือมัลแวร์ตัวนี้สามารถแอบบันทึกหน้าจอขณะผู้ใช้ปลดล็อกหรือเปิดแอปธนาคาร พร้อมซ้อนหน้าจอปลอมแอบขโมยรหัสผ่านและข้อมูลสำคัญต่างๆได้อย่างเนียนมาก เช่น การทำ Overlay Attacks และใช้โค้ด HTML ผ่าน WebView เพื่อหลอกขโมยข้อมูลรหัสผ่านของแอปพลิเคชันธนาคารและแอปอื่นที่เกี่ยวข้อง นอกจากนี้ DroidLock ยังสามารถบันทึกข้อมูลรหัส OTP หรือรหัสยืนยันตัวตนที่แสดงบนหน้าจอ รวมถึงแอบใช้กล้องถ่ายภาพผู้ใช้งานเพื่อเก็บหลักฐานหรือใช้ในการโจมตีในอนาคต เรียกได้ว่าครบวงจรความร้ายกาจของมัลแวร์ที่ส่งผลกระทบได้ทั้งผู้ใช้ทั่วไปและองค์กร สิ่งที่ควรระวังอย่างยิ่งคือการติดตั้งแอปจากแหล่งที่ไม่น่าเชื่อถือ เพราะ DroidLock โดยมากปลอมตัวเป็นตัวติดตั้งแอปชื่อดังหรือแอปทั่วไปที่ดูน่าเชื่อถือ ส่งผลให้เครื่องถูกติดตั้งมัลแวร์และได้สิทธิ์ครบถ้วนในการควบคุมเครื่องทันที อย่างไรก็ตาม การป้องกันที่ดีที่สุดคือหลีกเลี่ยงการเปิดใช้งานสิทธิ์ผู้ดูแลระบบหรือโหมดช่วยเหลือผู้พิการกับแอปที่ไม่น่าเชื่อถือ และใช้แอปความปลอดภัยที่อัปเดตเสมอเพื่อสแกนและตรวจจับความผิดปกติ พร้อมทั้งทำการสำรองข้อมูลสำคัญเป็นประจำ เพื่อเตรียมรับมือหากเกิดเหตุเครื่องถูกล็อกหรือข้อมูลถูกทำลาย สุดท้ายการรับรู้และเข้าใจถึงวิธีการทำงานของมัลแวร์แบบ DroidLock จะช่วยให้เราตื่นตัวและป้องกันตัวเองได้ดียิ่งขึ้นในยุคที่มัลแวร์ซับซ้อนและอันตรายมากขึ้นเรื่อยๆ
🤩🥰👍