แอปความปลอดภัยไซเบอร์ปลอม ใช้ Hugging Face
แอปความปลอดภัยไซเบอร์ปลอม ใช้แหล่งฝากแอป AI "Hugging Face" ปล่อยมัลแวร์ลง Android
ในยุคที่มีภัยไซเบอร์รอบด้านนี้ ผู้ใช้งานอุปกรณ์ไอที เช่น คอมพิวเตอร์ หรือสมาร์ทโฟนก็มักจะมีความสนใจในการหาดาวน์โหลดแอปพลิเคชันด้านความปลอดภัยไซเบอร์มาติดตั้งเพื่อป้องกันภัย และนั่นก็เป็นช่องโหว่ให้แฮกเกอร์เข้ามาแอบอ้างได้เช่นเดียวกัน
จากรา�ยงานโดยเว็บไซต์ Phone World ได้กล่าวถึงการตรวจพบแคมเปญปล่อยมัลแวร์ประเภทเข้าควบคุมเครื่องของเหยื่อจากระยะไกล หรือ RAT (Remote Access Trojan) ด้วยการแอบอ้างว่าเป็นแอปพลิเคชันด้านความปลอดภัยไซเบอร์สำหรับระบบปฏิบัติการ Android ที่มีชื่อว่า TrustBastion ที่อ้างว่ามีความสามารถในการตรวจจับภัยไซเบอร์ได้มากมายไม่ว่าจะเป็นโฆษณาปลอม, ข้อความสั้น (SMS หรือ Short Message Service) หลอกลวง, ความพยายามในการหลอกลวงแบบ Phishing และมัลแวร์ประเภทต่าง ๆ แต่ในความเป็นจริงแล้วตัวแอปปลอมนี้กลับทำหน้าที่เป็น มัลแวร์นกต่อ (Dropper) ในการดาวน์โหลดไฟล์มัลแวร์ (Payload) ของมัลแวร์ RAT ดังกล่าวลงมาติดตั้งบนเครื่อง
แหล่งข่าวไม่ได้บอกแต่อย่างใดว่าจุดเริ่มต้นของการหลอกลวงให้ดาวน์โหลดและติดตั้งแอปพลิเคชันปลอมนี้เริ่มต้นมาจากจุดไหน แต่คาดว่าอาจจะมาจากโฆษณาปลอม ที่หลอกให้ไปดาวน์โหลดจากแหล่งดาวน์โหลดแอปพลิเคชันสำหรับโทรศัพท์สมาร์ทโฟน Android แบบ 3rd Party ซึ่งหลังจากที่ดาวน์โหลดและติดตั้งเป็นที่เรียบร้อยแล้ว ตัวแอปปลอมก็จะทำการติดต่อกับเซิร์ฟเวอร์ที่อยู่บน URL ชื่อว่า trustbastion[.]com โดยหลังจากติดต่อไปถึงเซิร์ฟเวอร์แล้ว ตัวเซิร์ฟเวอร์ก็จะทำการเปลี่ยนเป้าหมาย (Redirect) ไปยังคลังดิจิทัล (Repo หรือ Repository) ชื่อ "Hugging Face" ซึ่ง Repo ตัวนี้ตามปกติแล้วเป็นบริการที่เชื่อถือได้ และมักถูกใช้งานเพื่อฝากไฟล์โครงการด้านปัญญาประดิษฐ์ หรือ AI (Artificial Intelligence) ต่าง ๆ แต่แฮกเกอร์กลับสามารถนำเอามาใช้เป็นแหล่งฝากมัลแวร์ได้
ซึ่งตัวมัลแวร์นกต่อก็จะทำการดึงเอาไฟล์ Payload ของมัลแวร์ RAT มาจาก Hugging Face ผ่านทางระบบส่งคอนเทนต์ หรือ CDN (Content Delivery Network) ลงมาติดตั้งบนเครื่อง ซึ่งระบบ CDN นี้ก็เป็นระบบของทาง Hugging Face ด้วยเช่นเดียวกัน และด้วยวิธีการเช่นนี้ ตัวมัลแวร์ก็จะสามารถหลบเลี่ยงการถูกตรวจจับได้ นอกจากนั้นทางทีมวิจัยจาก Bitdefender บริษัทนักพัฒนาเครื่องมือต่อต้านมัลแวร์ ยังพบอีกว่าตัวมัลแวร์มีการใช้ระบบ Polymorphism ของทางเซิร์ฟเวอร์ในการดัดแปลงสายพันธุ์ย่อย (Variant) ของมัลแวร์ทุก 15 นาที เพื่อให้การหลบเลี่ยงการตรวจจากระบบของเหยื่อได้อย่างมีประสิทธิภาพมากยิ่งขึ้น
มัลแวร์ RAT ดังกล่าวนั้นไม่ได้มีการถูกระบุชื่อไว้แต่อย่างใด แต่ทางทีมวิจัยก็ได้มีการอธิบายไว้ว่า มัลแวร์ดังกล่าวนั้นมุ่งเน้นการขโมยข้อมูล เช่น รหัสผ่าน จากบริการทางการเงินต่าง ๆ เช่น Alipay และ WeChat ด้วยการใช้เทคนิคซ้อนหน้าจอ (Overlayt Attack) เพื่อหลอกให้เหยื่อป้อนรหัสผ่านบนหน้าจอปลอมที่ซ้อนขึ้นมา นอกจากนั้นยังใช้เทคนิคดังกล่าวในการหลอกขโมยรหัสปลดล็อกหน้าจออีกด้วย ทางทีมวิจัยยังได้เผยว่าตัวมัลแวร์นั้นจะเข้าควบคุม��เครื่องของเหยื่อผ่านทางโหมดช่วยเหลือผู้ใช้งานที่พิการ หรือ Accessibility Mode เพื่อใช้งานความสามารถในการขโมยข้อมูลต่าง ๆ ดังนี้
ระบบซ้อนหน้าจออย่างที่กล่าวไว้ข้างต้น
ดักจับภาพหน้าจอ (Screenshot)
จำลองการเลื่อนหน้าจอ และ กด (Tap) หน้าจอ
ป้องกันการถอนการติดตั้ง (Uninstallation)
มอนิเตอร์พฤติกรรมของเหยื่อ
และเพื่อสร้างความแนบเนียนให้มากยิ่งขึ้น มัลแวร์ยังได้ทำการโหลดคอนเทนต์ที่เหมือนกับแอปของจริงลงมาจากเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อหลอกลวงเหยื่อให้ตายใจอีกด้วย
ในการต่อกรแคมเปญนี้ ทางทีมวิจัยได้ร่วมมือกับทาง Hugging Face เพื่อลบไฟล์ Payload มัลแวร์ออกจากระบบเป็นที่เรียบร้อยแล้ว นอกจากนั้นยังให้ตำแนะนำกับผู้ใช้งานโทรศัพท์มือถือในการใช้งานอย่างปลอดภัย โดยคำแนะนำนั้นมีดังนี้
หลีกเลี่ยงการดาวน์โหลดแอปพลิเคชันจากแหล่งดาวน์โหลดแบบ 3rd Party
ระวังคำเตือนด้านความปลอดภัยจากแอปพลิเคชันที่ดูผิดปกติ
ตรวจสอบคำขอสิทธิ์ในการเข้าถึงระบบ (Permission) อย่างถ้วนถี่ และระมัดระวังในการอนุมัติทุกครั้ง
ติดตั้งอัปเดตของแอปพลิเคชันผ่านทางช่องทางอย่างเป็นทางการเท่านั้น
#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #huggingface #freedomhack
เรื่องนี้เป็นตัวอย่างหนึ่งที่สะท้อนให้เห็นว่าแฮกเกอร์ยุคใหม่ใช้เทคนิคซับซ้อนมากขึ้นเรื่อย ๆ ในการแพร่มัลแวร์ ทำให้แอปปลอมสามารถหลบหนีการตรวจจับโดยระบบความปลอดภัยทั่วไปได้โดยง่าย จากประสบการณ์ส่วนตัวในการใช้สมาร์ทโฟนและดาวน์โหลดแอปพลิเคชัน จะพยายามเลือกติดตั้งเฉพาะแอปจาก Google Play Store เท่านั้น เพราะระบบมีมาตรการตรวจสอบความปลอดภัยที่เข้มงวดมากกว่าการดาวน์โหลดจากแหล่ง 3rd Party ที่ขาดการควบคุม นอกจากนี้ ยังแนะนำให้ผู้ใช้สังเกตคำขอสิทธิ์ของแอปต่าง ๆ อย่างละเอียด หากแอปขอสิทธิ์ที่ไม่สมเหตุสมผล เช่น ขอสิทธิ์เข้าถึง SMS หรือ Accessibility Mode โดยไม่เกี่ยวข้องกับฟังก์ชันหลัก ควรพิจารณาให้รอบคอบก่อนติดตั้ง แอปปลอม TrustBastion นั้นใช้วิธีการซ้อนหน้าจอ (Overlay Attack) เพื่อหลอกขโมยรหัสผ่านและข้อมูลสำคัญต่าง ๆ ซึ่งมีความอันตรายอย่างยิ่ง เพราะผู้ใช้ไม่ได้รับรู้ว่าได้ถูกหลอกเพราะเห็นเพียงหน้าจอปลอมที่เหมือนแอปจริง วิธีป้องกันที่ดีที่สุดคือหลีกเลี่ยงการคลิกลิงก์หรือโฆษณาที่ดูไม่น่าเชื่อถือ และอย่าดาวน์โหลดแอปโดยตรงจากลิงก์ที่ไม่ทราบแหล่งที่มา อีกข้อแนะนำคือ ควรติดตั้งอัปเดตระบบปฏิบัติการและแอปพลิเคชันอย่างสม่ำเสมอ เพราะนักพัฒนาจะปล่อยแพตช์แก้ไขช่องโหว่และพัฒนาระบบความปลอดภัยให้ทันสมัยเสมอ รวมทั้งการใช้แอปแอนตี้ไวรัสชื่อดังที่มีการอัปเดตฐานข้อมูลมัลแวร์อย่างสม่ำเสมอจะช่วยลดโอกาสตกเป็นเหยื่อของมัลแวร์ประเภทนี้ได้มาก สุดท้ายนี้ เหตุการณ์ที่เกิดขึ้นยังเป็นสัญญาณเตือนให้ผู้ใช้อุปกรณ์ไอทีทุกคนต้องระมัดระวังในการเลือกใช้งานแอปความปลอดภัยต่าง ๆ ไม่ควรไว้ใจแหล่งฝากไฟล์เพียงเพราะดูน่าเชื่อถือ เช่น Hugging Face ถึงแม้ว่าจะเป็นแพลตฟอร์มเปิดที่มีชื่อเสียงในวงการ AI ก็ตาม เพราะแฮกเกอร์สามารถใช้ช่องโหว่ของระบบ CDN เพื่อกระจายมัลแวร์ได้เช่นกัน การตระหนักรู้และมีความรู้เรื่องภัยไซเบอร์จึงเป็นสิ่งสำคัญเพื่อปกป้องข้อมูลส่วนตัวจากการถูกโจรกรรมอย่างมีประสิทธิภาพ
