พบมัลแวร์ Keenadu ถูกติดตั้งจากโรงงานผู้ผลิต
พบมัลแวร์ Keenadu ถูกติดตั้งจากโรงงานผู้ผลิตแท็บเล็ต Android สามารถแฮกแอปต่าง ๆ บนเครื่องได้
การใช้อุปกรณ์ Android นั้นส่วนมากความเสี่ยงจากการติดมัลแวร์มักจะมาจากการนำเอาตัวเองไปอยู่ในภาวะเสี่ยง หรือ เผลอดาวน์โหลดมาเอง ทว่าในส่วนน้อยแต่อันตรายสูงนั้น กลับมาจากการแอบฝังมัลแวร์ลงไปในขั้นตอนผลิต หรือขนส่ง ก่อนที่จะถือมือผู้ซื้อซึ่งเรียกว่าการโจมตีห่วงโซ่อุปทาน หรือ Supply Chain Attack ที่ได้มาเป็นข่าวอีกครั้งในครั้งนี้
จากรายงานโดยเว็บไซต์ PC Mag ได้กล่าวถึงการที่ทางทีมวิจัยจาก Kaspersky บริษัทผู้พัฒนาแอนตี้ไวรัสชื่อดัง ออกมาเปิดเผยถึงการตรวจพบมัลแวร์ประเภทเปิดประตูหลังของระบบ หรือ Backdoor ที่มีชื่อว่า Keenadu ซึ่งสามารถช่วยให้แฮกเกอร์สามารถเข้าถึง และควบคุมเครื่อง รวมทั้งเข้าดัดแปลงแอปพลิเคชันใด ๆ ที่ถูกเปิดใช้งานบนเครื่อง โดยมัลแวร์ตัวนี้ฝังตัวอยู่ภายในเฟิร์มแวร์ (Firmware) ของแท็บเล็ตที่ใช้ระบบปฏิบัติการ Android มากกว่า 13,000 เครื่องทั่วโลกทั้งในแถบทวีปยุโรป, ประเทศญี่ปุ่น, บราซิล และอีกหลากประเทศ ซึ่งทางทีมวิจัยได้สันนิษฐานว่า อาจมีผู้ไม่ประสงค์ดีแอบโหลดโค้ดมัลแวร์เข้าไปบนเฟิร์มแวร์ในขั้นตอนการผลิต หรือขั้นตอนการเตรียมเฟิร์มแวร์เพื่ออัปเดต อันเป็นวิธีการที่เรียกว่าเป็นการทำ Supply Chain Attack
ทว่าก็ไม่ต้องกังวลใจกันมากเกินไป เพราะแท็บเล็ตที่ได้รับผลกระทบนั้นไม่ใช่แบรนด์ดังที่นิยมใช้งานกัน แต่เป็นแบรนด์จากจีนที่มีชื่อว่า Alldocube ซึ่งเป็นแบรนด์สินค้าราคาถูก ทำเลียนแบบยี่ห้อดัง โดยตัวสินค้าของแบรนด์นั้นเคยวางจำหน่ายอยู่บนเว็บไซต์ Amazon และในปัจจุบันได้ย้ายมาจำหน่ายบนเว็บไซต์ Aliexpress แทน ซึ่งเมื่อตรวจสอบตัวเครื่องแท็บเล็ต Alldocube iPlay 50 mini Pro ที่มีการใช้เฟิร์มแวร์ปี ค.ศ. 2023 (พ.ศ. 2566) ก็พบว่ามีเฟิร์มแวร์ฝังอยู่มาตั้งแต่ช่วงนั้นแล้ว นอกจากนั้นทางทีมวิจัยก็ยังพบอีกว่า เฟิร์มแวร์รุ่นต่อจากรุ่นปีที่กล่าวมาของแท็ปเล็ตตัวนี้ ล้วนแต่มีมัลแวร์แฝงตัวอยู่ทั้งหมด
ทางทีมวิจัยได้เปิดเผยถึงศักยภาพอันร้ายกาจของมัลแวร์ตัวนี้ว่า ตัวมัลแวร์สามารถแพร่กระจายลงแอปพลิเคชันทุกตัวที่ติดตั้งบนเครื่องได้ทั้งหมด เพราะเพียงแค่กดติดตั้งจากไฟล์ติดตั้งแบบ APK (Android Package Kit) ก็จะถือว่าเป็นการมอบสิทธิ์ (Permission) ให้กับมัลแวร์เข้าถึงได้เป็นที่เรียบร้อยแล้ว ส่งผลให้ข้อมูลต่าง ๆ เช่น รหัสผ่าน, บัญชีธนาคาร, ข้อความต่าง ๆ ถูกแฮกเกอร์ขโมยได้ทั้งหมด นอกจากนั้นยังถอนการติดตั้งได้ยากอีกด้วยเนื่องจากฝังตัวมากับเฟิร์มแวร์ของเครื่อง แต่ถึงจะมีศักยภาพมาก สิ่งที่ทางทีมวิจัยพบกลับพบว่า กิจกรรมของมัลแวร์ในปัจจุบันมีเพียงแค่การคอยส่งโฆษณาปลอม (Ads Fraud) ให้กับเหยื่อเท่านั้น
นอกจากมัลแวร์ที่ติดมากับเครื่องจากโรงงานแล้ว ทางทีมวิจัยยังพบว่ามัลแวร์ตัวนี้มีการแฝงตัวอยู่บนแอปพลิเคชันสำหรับการจัดการกล้องสมาร์ทโฮม (Smart Home Camera) ที่มีให้ดาวน์โหลดบนแอปสโตร์อย่างเป็นทางการของ Android อย่าง Google Play Store อีกด้วย โดยมีผู้ดาวน์โหลดมากกว่า 3 แสนราย ซึ่งตัวมัลแวร์บนแอปพลิเคชันตัวนี้นั้นจะมีศักยภาพที่ต่ำกว่า ซึ่งจะทำหน้าที่แค่เปิดเว็บเบราว์เซอร์ที่มองไม่เห็นเพื่อปล่อยโฆษณาปลอมให้เหยื่อเท่านั้น แต่ที่น่าสังเกตคือ ตัวมัลแวร์จะไม่ทำงานถ้าไม่เข้าเงื่อนไขที่เหมาะสม เช่น ไม่มีการตั้งค่าใช้งานภาษาจีนเป็นภาษาหลักบนเครื่อง, ไม่ได้ใช้งานอยู่ในเขตเวลา (Time Zone) ของประเทศจีน, และไม่มีการติดตั้ง Google Play Store อยู่บนเครื่อง แต่ก็ยังเป็นข่าวดีคือ ทาง Google ได้ทำการลบแอปพลิเคชันนี้จากแอปสโตร์เป็นที่เรียบร้อยแล้ว
ทางทีมวิจัยยังได้เตือนอีกว่า ขอให้ผู้อ่านเลือกใช้งานอุปกรณ์ต่าง ๆ จากผู้พัฒนาที่มีชื่อเสียง และหลีกเลี่ยงการสั่งซื้อเครื่องราคาถูกจากผู้พัฒนาที่ชื่อแบรนด์ไม่เป็นที่รู้จักจากตลาดมืด เพื่อความปลอดภัยของผู้ใช้งานจากมัลแวร์ที่ติดตั้งมากับเครื่อง
สำหรับคนที่ใช้งานแท็ปเล็ตยี่ห้อดังกล่าวอยู่ ซึ่งในไทยก็น่าจะมีจำนวนอยู่ไม่น้อย ล่าสุดได้มีประกาศปล่อยเฟิร์มแวร์ที่ได้รับการแก้ไขออกมาให้อัปเดตแล้ว ใครใช้งานอยู่ก็เข้าไปจัดการให้เรียบร้อย
จากประสบการณ์ส่วนตัวที่เคยเจอปัญหามัลแวร์ในอุปกรณ์ Android มาแล้ว สิ่งสำคัญคือการเลือกซื้อแท็บเล็ตหรือสมาร์ทโฟนจากแบรนด์ที่น่าเชื่อถือเพื่อลดความเสี่ยงจากการถูกฝังมัลแวร์ตั้งแต่ขั้นตอนผลิตอย่างกรณีมัลแวร์ Keenadu ที่ถูกฝังในเฟิร์มแวร์ของแท็บเล็ต Alldocube ซึ่งเป็นแบรนด์จีนราคาถูกที่ไม่เป็นที่รู้จักมากนัก มัลแวร์ Keenadu นี้มีบทบาทเป็น backdoor สามารถแทรกตัวเข้าไปในระบบได้อย่างลึกซึ้ง ทั้งยังมีศักยภาพในการขโมยข้อมูลสำคัญ เช่น รหัสผ่าน บัญชีธนาคาร และข้อความส่วนตัว ผ่านการกระจายตัวไปในแอปที่ติดตั้งบนเครื่อง เนื่องจากได้รับสิทธิ์เข้าถึงแบบเต็มที่ตั้งแต่การติดตั้งไฟล์ APK ซึ่งส่งผลร้ายแรงต่อความปลอดภัยของผู้ใช้ สิ่งที่น่าสนใจก็คือ ถึงแม้ว่ามัลแวร์ตัวนี้จะฝังติดเครื่องตั้งแต่ในโรงงานผลิต แต่ปัจจุบันยังพบว่ามัลแวร์จะเน้นกิจกรรมในลักษณะส่งโฆษณาปลอมเพื่อสแปมเหยื่อมากกว่าการใช้งานแฮกข้อมูลแบบเต็มรูปแบบ ซึ่งแสดงให้เห็นว่าแฮกเกอร์อาจมุ่งเน้นหากำไรจากโฆษณามากกว่าการขโมยข้อมูล นอกจากนี้ยังมีกรณีมัลแวร์ที่ฝังในแอปพลิเคชันจัดการกล้องสมาร์ทโฮมซึ่งมีการดาวน์โหลดจาก Google Play Store กว่า 300,000 ครั้ง แต่ยังโชคดีที่ Google ได้ลบแอปนั้นออกไปแล้ว และยังมีการตรวจสอบเงื่อนไขต่าง ๆ เช่น ภาษาจีนและเขตเวลา เพื่อไม่ให้มัลแวร์ทำงานในตลาดอื่น ๆ ด้วยประสบการณ์ตรง แนะนำว่าควรระมัดระวังการดาวน์โหลดและติดตั้งแอปจากแหล่งน่าเชื่อถือเท่านั้น และหมั่นอัปเดตเฟิร์มแวร์หรือระบบปฏิบัติการอย่างสม่ำเสมอ รวมถึงการตรวจสอบข่าวสารจากบริษัทผู้พัฒนาหรือทีมวิจัยด้านความปลอดภัยอย่าง Kaspersky เพื่อแก้ไขช่องโหว่หรือมัลแวร์ที่อาจแฝงตัวในอุปกรณ์ของเรา สุดท้าย หากท่านใช้งานแท็บเล็ต Alldocube รุ่นที่มีรายงานเกี่ยวกับมัลแวร์ Keenadu ควรรีบตรวจสอบว่ามีอัปเดตเฟิร์มแวร์เวอร์ชันใหม่ที่แก้ไขปัญหาแล้วหรือไม่ และทำการติดตั้งทันที เพื่อป้องกันไม่ให้มัลแวร์สามารถใช้งานแฝงตัวและขโมยข้อมูลของท่านได้อย่างต่อเนื่อง
