มัลแวร์ Wonderland ปลอมตัวเป็นแอปพลิเคชันดัง
มัลแวร์ Wonderland ปลอมตัวเป็นแอปพลิเคชันดังหลอกเข้าเครื่อง Android
การใช้งานระบบปฏิบัติการ Android นั้นถึงแม้จะมีอิสระในการใช้งานที่สูงจากการที่เป็นระบบเปิด แต่ก็ต้องยอมรับว่า นำไปสู่การพัฒนามัลแวร์ที่ง่าย ทำให้ผู้ใช้งานต้องตกอยู่ใต้ความเสี่ยงอย่างช่วยไม่ได้
จากรายงานโดยเว็บไซต์ The Hacker News กล่าวถึงการตรวจพบแคมเปญของการปล่อยมัลแวร์ที่มุ่งเล่นงานกลุ่มผู้ใช้งานโทรศัพท์มือถือที่ใช้งานระบบ Android ซึ่งมัลแวร์ที่เป็นประเด็นนี้เป็นมัลแวร์ประเภทเข้าขโมยข้อมูลจากเครื่องของเหยื่อ หรือ Infostealer ที่มีชื่อว่า Wonderland ที่มีความสามารถในการขโมยข้อความสั้น หรือ SMS (Short Message Service) โดยกลุ่มแฮกเกอร์ที่มีชื่อว่า TrickyWonders ซึ่งมัลแวร์ตัวนี้ก็ไม่ใช่มัลแวร์ตัวใหม่เสียทีเดียว เพราะในอดีตที่ผ่านมานั้นเคยระบาดด้วยการแพร่กระจายไฟล์ติดตั้งแอปพลิเคชันปลอมในรูปแบบ APK แต่ภายในนั้นไม่ใช่แอปพลิเคชันแต่เป็นมัลแวร์ล้วน ๆ แต่ในคราวนี้ ตัวมัลแวร์ได้พัฒนาไปอีกครั้งด้วยการแอปแฝงในแอปพลิเคชันจริงที่มีการสอดไส้มัลแวร์นกต่อ (Dropper) เพื่อปล่อยลงสู่เครื่องของเหยื่อ ซึ่งทางทีมวิจัยจาก Group-IB บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ที่เป็นกลุ่มผู้ตรวจพบมัลแวร์ดังกล่าวได้เผยว่า ขณะนี้ตัวมัลแวร์กำลังระบาดอย่างหนักในประเทศอุซเบกิสถาน
ในการแพร่กระจายมัลแวร์นั้น จะเริ่มต้นจากการยิงโฆษณาผ่านทางโซเชียลมีเดียยอดนิยมอย่าง Facebook เพื่อล่อลวงให้เหยื่อกดเข้าลิงก์บนโฆษณาที่จะพาเหยื่อไปยังเว็บไซต์ปลอม ที่มีการตกแต่งหน้าตาของเว็บไซต์จนเหมือนกับเพจจริงของ Google Play Store ซึ่งเป็นแอปสโตร์อย่างเป็นทางการของ Android แล้วหลอกให้ดาวน์โหลดแอปพลิเคชันเวอร์ชันสอดไส้ลงบนโทรศัพท์มือถือของเหยื่อ โดยในขั้นตอนการหลอกลวงนี้ไม่ได้จำกัดอยู่เพียงแค่บน Facebook เท่านั้น แต่ยังมีการใช้บัญชีปลอมบนแอปแนวนัดพบ หรือ Dating App และบัญชีที่ถูกแฮกมาบนบริการแชท Telegram โดยบัญชีอย่างหลังนี้แฮกเกอร์ได้มาจากการซื้อบัญชีที่โดนขโมยมาที่ถูกวางขายอยู่ในตลาดมืดมาอีกที
หลังจากที่ติดตั้งแอปพลิเคชันสอดไส้มัลแวร์ลงบนเครื่องแล้ว ก็จะนำไปสู่การใช้งานตัว Dropper ซึ่งอาจเป็น MidnightDat หรือ RoundRift ก็ได้ โดย Dropper ทั้ง 2 ตัวนี้จะมาในคราบของคำขอร้องให้อัปเดตแอป อย่างเช่น "Install the update to use the app" (กรุณาอัปเดตเพื่อใช้งานแอปพลิเคชัน) ซึ่งการอัปเดตดังกล่าวจะนำไปสู่การดาวน์โหลดไฟล์มัลแวร์ตัวจริง หรือ Payload ลงมาติดตั้งลงบนเครื่องของเหยื่อในท้ายที่สุด
ภายหลังจากที่ตัวมัลแวร์ Wonderland ถูกติดตั้งลงบนเครื่องของเหยื่อเสร็จเรียบร้อยแล้ว ตัวมัลแวร์ก็จะขอสิทธิ์ในการเข้าถึงข้อความ SMS ในทันที ซึ่งถ้าเหยื่อกดมอบสิทธิ์ให้ไป ก็จะนำไปสู่การขโมยข้อความต่าง ๆ ภายในกล้องข้อความ SMS โดยเฉพาะอย่างยิ่งข้อความรหัสผ่านแบบใช้ครั้งเดียว หรือ OTP (One-Time Password) ซึ่งข้อมูล OTP นั้นจะถูกนำไปใช้ในการขโมยเงินจากบัญชีธนาคารของเหยื่อผ่านแอปธนาคารที่ถูกติดตั้งอยู่บนเครื่อง ซึ่งความสามารถในการเข้าถึงกล่องข้อความ SMS นี้ยังไม่จบแค่การขโมยข้อมูลเท่านั้น แต่ยังสามารถใช้ในการส่ง SMS ปลอมไปหาเหยื่อรายอื่น ๆ ที่อยู่บนบัญชีผู้ติดต่อ (Contacts) บนเครื่องของเหยื่อได้อีกด้วย
นอกจากนั้นยังมีความสามารถอื่น ๆ อีกมากมาย ทั้งการขโมยรายชื่อผู้ติดต่อแล้วแอบส่งกลับไปให้แฮกเกอร์ (Exfiltration), การซ่อนการแจ้งเตือน (Notification) บนเครื่อง, การแอบใช้เบอร์ของเหยื่อเพื่อล็อกอินเข้าใช้งาน Telegram ในการเอาไปใช้งานในการแพร่มัลแวร์ต่อ, และในส่วนการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ยังเป็นการติดต่อแบบ 2 ทาง หรือ Bidirection ทำให้ทั้งการรับส่งข้อมูล และการควบคุมมัลแวร์มีความเปี่ยมประสิทธิภาพ ซึ่งสำหรับเซิร์ฟเวอร์ C2 นั้นก็มีการเปลี่ยนโดเมนที่บ่อยครั้งเพื่อหลีกเลี่ยงการถูกตรวจจับและถูกบันทึกลงรายชื่อต้องห้าม (Blacklist) ทำให้การทลายเครือข่ายของมัลแวร์ตัวนี้ทำได้ยาก เรียกได้ว่าเป็นมัลแวร์ท�ี่มีความร้ายกาจเป็นอย่างยิ่ง
นอกจากนั้นทางแหล่งข่าวยังได้มีการกล่าวถึงมัลแวร์ในรูปแบบที่คล้ายกันอย่าง Cellik อีกด้วย ซึ่งมัลแวร์ตัวนี้ทางทีมข่าวได้เคยรายงานไปแล้วในช่วงสัปดาห์ที่ผ่านมา
#ต้อนรับ2026 #ดูแลตัวเอง #เปิดงบ #รวมเรื่องไอที #freedomhack
ในฐานะผู้ใช้ Android ที่เคยประสบปัญหามัลแวร์มาแล้ว ผมอยากแชร์ประสบการณ์และข้อควรระวังเพื่อช่วยให้เพื่อน ๆ ปลอดภัยจากมัลแวร์อย่าง Wonderland ที่ปลอมแอปพลิเคชันดังเพื่อล่อให้ดาวน์โหลด โดยวิธีการโจมตีที่นิยมคือการส่งลิงก์ผ่านโซเชียลมีเดียหรือแอปรวมถึง Facebook หรือแม้แต่แอปนัดพบ และแม้กระทั่ง Telegram ซึ่งเป็นแอปแชทยอดนิยมที่หลายคนใช้อยู่กันทุกวัน ผมเองเคยได้รับข้อความหรือเห็นโฆษณาที่มีลิงก์นำไปสู่เว็บที่หน้าตาคล้าย Google Play Store มาก ๆ แต่ถ้าสังเกตดี ๆ จะพบว่าลิงก์นั้นไม่ได้มาจากแหล่งทางการ เมื่อดาวน์โหลดแอปนั้น เครื่องจะแจ้งให้ติดตั้งอัปเดตเพิ่มเติม ซึ่งบางคนอาจรีบกดอนุญาตโดยไม่ทันคิด นั่นแหละ คือวิธีที่มัลแวร์ใช้ Dropper อย่าง MidnightDat หรือ RoundRift ปล่อยมัลแวร์ตัวจริงลงเครื่อง เมื่อมัลแวร์ถูกติดตั้ง มันจะขอสิทธิ์เข้าถึง SMS ทันที และถ้าเรายอมให้เข้าถึง ข้อมูล OTP ที่ใช้สำหรับยืนยันการทำธุรกรรมทางการเงินก็จะตกอยู่ในมือแฮกเกอร์ทันที จากประสบการณ์ ผมแนะนำให้ตรวจสอบอย่างละเอียดก่อนกดให้สิทธิ์ใด ๆ กับแอปที่ดาวน์โหลดมานอก Google Play Store และต้องระวังการดาวน์โหลดไฟล์ APK จากแหล่งที่ไม่น่าเชื่อถือ นอกจากนั้น มัลแวร์ตัวนี้ยังสามารถขโมยรายชื่อผู้ติดต่อ และส่งข้อความแอบอ้างจับกลุ่มผู้ติดต่อของเราเพิ่มความเสียหายไปอีก เป็นวงจรที่ควบคุมได้ยากเพราะมัลแวร์ติดต่อกับเซิร์ฟเวอร์ควบคุมแบบ 2 ทางและเปลี่ยนโดเมนบ่อยครั้งเพื่อต้านการบล็อก สำหรับผู้ที่ใช้ Android ควรตั้งค่าความปลอดภัยให้สูงขึ้น เช่น เปิดใช้งาน Auto Blocker เพื่อป้องกันการติดตั้งแอปจากแหล่งที่ไม่รู้จัก นอกจากนี้ควรใช้แอปความปลอดภัยและสแกนหาแอปต้องสงสัย รวมถึงอัปเดตระบบปฏิบัติการและแอปอย่างสม่ำเสมอเพื่อปิดช่องโหว่ที่อาจถูกมัลแวร์ใช้ประโยชน์ ท้ายที่สุด ผมอยากเตือนให้ทุกคนเพิ่มความระมัดระวังกับลิงก์และแอปที่รับมาโดยไม่รู้แหล่งที่มา เพราะภัยไซเบอร์ไม่ได้จำกัดแค่ในกลุ่มคนที่ทำงานด้านเท่านั้น แต่ทุกคนมีโอกาสเป็นเหยื่อได้เสมอ การเข้าใจและดูแลความปลอดภัยของอุปกรณ์จะช่วยลดความเสี่ยงนี้ได้มาก
