มัลแวร์ PromptSpy บน Android ตัวใหม่
มัลแวร์ PromptSpy บน Android ตัวใหม่ มีการใช้ Gemini เพื่อช่วยตัดสินใจ
เมื่อพูดถึงบริการที่ขึ้นต้นด้วย Prompt หลายคนอาจจะนึกถึงบริการรับ-จ่ายเงินสุดสะดวกอย่าง PromptPay หรือ บริการคล้ายกันสำหรับธุรกิจอย่าง PromptBiz แต่ในคราวนี้ก็มีอีกสิ่งหนึ่งที่ใช้คำเดียวกัน ทว่าไม่ใช่บริการทางการเงินแต่อย่างใด แต่เป็นมัลแวร์ตัวใหม่ที่มีความฉลาดล้ำ
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบมัลแวร์ตัวใหม่ที่มุ่งเน้นการโจมตีระบบปฏิบัติการ Android ที่มีชื่อว่า PromptSpy ซึ่งมัลแวร์ตัวนี้มีสิ่งที่พิเศษกว่าตัวอื่นคือ มีการนำเอาเครื่องมือ AI หรือ ปัญญาประดิษฐ์ (Artificial Intelligence) ของ Google อย่าง Gemini เข้ามาใช้งานในการช่วยตัดสินใจ (Decision-Making) ซึ่งมัลแวร์ตัวนี้ถูกตรวจพบครั้งแรกในช่วงวันที่ 10 กุมภาพันธ์ ที่ผ่านมา ในปีนี้ โดยทีมวิจัยจาก ESET บริษัทผู้พัฒนาเครื่องมือต่อต้านมัลแวร์ยอดนิยม ซึ่งทางทีมวิจัยตรวจพบจากตัวอย่าง 4 ตัวที่ถูกอัปโหลดจากประเทศอาร์เจนตินาขึ้นสู่เว็บไซต์ VirusTotal ซึ่งเป็นเว็บไซต์สำหรับตรวจสอบไวรัสคอมพิวเตอร์ ทางทีมวิจัยได้เรียกมัลแวร์ตัวที่ตรวจพบนี้ว่าเป็นตัวแรกที่มีการใช้เทคนิคดังกล่าวซึ่งถูกตรวจพบได้ในปัจจุบัน
โดยในการตรวจสอบนั้นพบว่ามัลแวร์ตัวนี้ถูกแพร่กระจายด้วยการปลอมตัวเป็นแอปพลิเคชันของธนาคาร JPMorgan Chase Bank N.A. สาขาประเทศอาร์เจนตินาภายใต้ชื่อว่า MorganArg หรือ “Morgan Argentina” ซึ่งแพร่กระจายผ่านทางเว็บไซต์ปลอมที่ถูกปิดตัวลงไปแล้วชื่อว่า mgardownload[.]com โดยแอปนี้จะเป็นการปลอมหน้าล็อกอินของธนาคารดังกล่าว ซึ่งในการตรวจสอบพบว่ามัลแวร์ตัวนี้มีการเขียนค่าสตริง (String) เป็นภาษาจีน รวมทั้งมีเครื่องมือจัดการอีเวนต์ (Event Handler) ในส่วนของการใช้งานโหมดช่วยเหลือคนพิการ (Accesibility Mode) เป็นภาษาจีนอีกด้วย ทำให้คาดการณ์ได้ว่าแฮกเกอร์ที่อยู่เบื้องหลังการพัฒนาน่าจะเป็นกลุ่มแฮกเกอร์จีน แต่ในปัจจุบันนั้นยังไม่พบหลักฐานการแพร่ระบาดแต่อย่างใดเมื่ออ้างอิงจากข้อมูล Telematry ของ ESET ทว่าจากโครงสร้างพื้นฐานทั้งหมดที่ค้นพบนั้นพบว่าตัวมัลแวร์มีความพร้อมในการแพร่กระจายในโลกจริงมาก
สิ่งที่แตกต่างจากมัลแวร์ทั่วไปคือ มัลแวร์ตัวนี้จะมีการบันทึกข้อมูลอินเตอร์เฟซการใช้งานแบบสด (Live User Interface) ลงในรูปแบบไฟล์ XML แล้วทำการส่งไปให้ยัง Gemini พร้อมคำสั่ง (Prompt) แบบค่าคงที่ (Hardcoded) ที่ถูกเขียนขึ้นในรูปแบบภาษาธรรมชาติ (Natural Language) เพื่อให้ Gemini วิเคราะห์และตัดสินใจโดยอิงจากสถานการณ์จริง ซึ่งหลังจากวิเคราะห์เสร็จเรียบร้อยแล้วตัว Gemini ก็จะส่งข้อมูลคำสั่งต่าง ๆ ในรูปแบบไฟล์ JSON ที่บรรจุคำสั่งการเลื่อนและกดจอ (Swipe and Tap Instruction), คำสั่งล็อกแอปในส่วนของแอปที่ถูกเปิดล่าสุด (Lock App in Recent App), ปักหมุดแอปปลอมไว้ในส่วนของหน้าจอสำหรับทำงานหลายประเภทพร้อมกัน (Multitasking View) พร้อมล็อกแอปไว้ไม่ให้ปิดได้ เป็นต้น โดยการทำงานร่วมกับ Gemini จะเป็นการทำงานแบบกระบวนการขอความเห็นย้อนกลับ (Feedback Loop) ซึ่งมัลแวร์จะทำการส่งข้อมูลใหม่ ๆ ไปขอความเห็นจากทาง Gemini ทุกครั้งที่มีการกระทำ (Action) ใด ๆ ลงไป ซึ่งสิ่งเหล่านี้จะแตกต่างจากมัลแวร์แบบดั้งเดิมที่ใช้การ Harcoded คำสั่งต่าง ๆ ไว้เรียบร้อยแล้ว ทำให้มักมีการทำงานที่ล้มเหลว เมื่อทำงานบนหน้าจอที่มีขนาด หรือ User Interface ที่แตกต่างไปจากที่กำหนด
นอกจากในส่วนของการใช้งาน Gemini แล้ว ตัวมัลแวร์ยังได้มีการใช้งานโมดูล (Module) VNC (Virtual Network Computing) เพื่อใช้ในการควบคุมเครื่องของเหยื่อจากระยะไกล ซึ่งจะทำงานผ่านการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่มีการเข้ารหัสแบบ AES โดยหลังจากที่ตัวมัลแวร์เข้าถึงโหมด Accesibility ได้แล้ว แฮกเกอร์ก็จะสามารถควบคุมหน้าจอบนเครื่องผ่านทางช่องทาง VNC ได้ ตัวแอปพลิเคชันปลอมนั้นจะมีระบบการป้องกันการถูกลบ ด้วยการสร้างหน้าจอซ้อนปุ่มต่าง ๆ ที่มีค่าสตริงเช่น “stop,” “end,” “clear,” และ “Uninstall” ให้ไม่สามารถกดได้ ทำให้วิธีการลบนั้นต้องเข้า Safe Mode แล้วลบผ่าน Settings → Apps → MorganArg เท่านั้น
#ติดเทรนด์ #Lemon8ฮาวทู #lemon8ไดอารี่ #มัล��แวร์ #freedomhack
จากประสบการณ์ในการติดตามข่าวสารความปลอดภัยไซเบอร์ มัลแวร์ PromptSpy ถือว่าเป็นมัลแวร์บน Android ที่มีความซับซ้อนและล้ำหน้ากว่าที่เคยพบเห็น เพราะมีการผสมผสานเทคโนโลยี AI เช่น Gemini ของ Google เข้าไปช่วยในการวิเคราะห์และตัดสินใจแบบเรียลไทม์ สิ่งที่น่ากังวลคือ วิธีการที่ใช้โดยมัลแวร์นี้นอกจากจะส่งข้อมูลอินเทอร์เฟซสดอย่างละเอียดไปยัง AI เพื่อรับคำสั่งแบบไดนามิกแล้ว ยังสามารถล็อกและปิดกั้นการใช้งานแอปปลอมผ่านหน้าจอหลายงาน ทำให้ผู้ใช้ไม่สามารถปิดหรือหยุดการทำงานของมันได้ง่ายๆ จากที่แนะนำในข่าว การปลอมตัวเป็นแอปธนาคาร JPMorgan Chase Branch Argentina เป็นตัวอย่างของมัลแวร์ที่พยายามหลอกล่อให้ผู้ใช้งานหลงเชื่อและป้อนข้อมูลส่วนตัวสำคัญ รวมถึงความสามารถในการควบคุมเครื่องผ่าน VNC และสร้างหน้าจอซ้อนปุ่มป้องกันการลบ ถือเป็นเทคนิคที่เพิ่มระดับความอันตรายขึ้นมาก สิ่งสำคัญสำหรับผู้ใช้ Android ที่อยากปลอดภัย คือควรติดตั้งแอปพลิเคชันจากแหล่งที่น่าเชื่อถือเท่านั้น และหมั่นตรวจสอบสิทธิ์ของแอป ในกรณีนี้ต้องระวังสิทธิ์การเข้าถึงกล้องและวิดีโอ รวมถึงการอนุญาตโหมดช่วยเหลือคนพิการ (Accessibility Mode) ที่ถูกใช้โดยมัลแวร์เพื่อลอบควบคุมเครื่อง นอกจากนี้ เมื่อมีความเสี่ยงพบแอปที่ผิดปกติ ควรบูตเครื่องใน Safe Mode และทำการลบแอปจากการตั้งค่าโดยตรง เพื่อป้องกันไม่ให้มัลแวร์ชิงปิดกั้นการลบด้วยหน้าจอซ้อนอย่างที่กล่าวมา สุดท้ายนี้ การรักษาความปลอดภัยไซเบอร์ในปัจจุบันต้องปรับตัวให้ทันเทคโนโลยีใหม่ เพราะมัลแวร์ยุคใหม่แม้จะฉลาดกว่าเดิม แต่ถ้าผู้ใช้ตระหนักถึงความเสี่ยงและรู้วิธีป้องกัน ก็ยังสามารถลดความเสียหายจากการโจมตีได้อย่างมีประสิทธิภาพ
