แม้ว่า Google Play Store แหล่งดาวน์โหลดแอพพลิเคชั่นยอดนิยมนั้นจะมี Google Play Protect ระบบคัดกรองแอพฯ ที่คอยดักจับอันตราย ก่อนจะนำไปลงในเพลย์สโตร์ ถึงกระนั้นมันก็ยังมีมัลแวร์ที่แฝงตัวอยู่ในแอพฯ หลุดรอดเข้าไปได้อยู่ดี ไม่ใช่ว่าระบบป้องกันไม่ดีนะครับ แต่ด้วยจำนวนแอพฯ มหาศาลที่ถูกเพิ่มเข้าไปในแต่ละวัน บวกกับ แฮกเกอร์ใช้เทคนิคและวิธีการใหม่ๆ เพื่อเจาะเข้าไป เป็นเรื่องยากมากที่จะป้องกันอันตรายได้ทั้งหมด
ล่าสุดแบรนด์ผู้ผลิตซอฟต์แวร์ชื่อดังอย่าง ESET ได้ค้นพบแอพพลิเคชั่นวายร้ายสุดอันตราย นามว่า Android/TrojanDropper.Agent.BKY หลุดรอดการป้องกันของ Google Play Protect แล้วไปโผล่ให้ดาวน์โหลดอยู่ใน Play Store มียอดกดดาวน์โหลดไป 100 กว่าครั้ง ก่อนจะถูกนำออกไป
สำหรับเจ้ามัลแวร์ประเภทนี้ มีชื่อเรียกว่า Multi-stage Android Malware มันเป็นมัลแวร์ในคราบแอพพลิเคชั่นปลอม ที่มีหน้าตาและฟังก์ชั่นการใช้งานเหมือนกับแอพฯ จริงทุกประการ ทำให้เหยื่อเข้าใจผิดและกดดาวน์โหลดไปใช้งาน โดยไม่รู้ตัวว่ามี Script สุดอันตรายที่ตั้งเวลาทำงานไว้ แฝงตัวอยู่ภายในแอพฯ และวิธีตรวจสอบได้นั้น ต้องดูกันในระดับโครงสร้างกันเลยทีเดียว สำหรับ Script อันตรายที่ว่านั้นถูกใส่รหัสไว้เพื่อป้องกันการตรวจสอบ ถือได้ว่าเป็นวิธีใหม่ที่ซับซ้อน และแนบเนียนสุดๆ
วิธีการทำงานของมันนั้น เริ่มจากเมื่อเหยื่อติดตั้งแอพฯ ปลอมลงในเครื่อง Script อันตรายเหล่านี้จะยังไม่ทำงานทันที แต่มันจะรอจนกว่าจะถึงเวลาที่กำหนด เมื่อถึงเวลามันจะทำการรัน Script แบบอัตโนมัติโดยที่เหยื่อไม่รู้ตัว การทำงานของมันมี 4 ขั้นตอน ได้แก่
รัน Script ชุดแรก เพื่อปูทางสู่ขั้นตอนที่สอง
รัน Script ชุดที่สอง เพื่อสร้างลิงค์ไปสู่เว็บไซต์เถื่อน เพื่อดาวน์โหลดแอพฯ ปลอมอีกหนึ่งตัว (Adobe Flash Player) และขออนุญาตติดตั้งลงในเครื่อง
เมื่อผู้ใช้กดยินยอมให้ติดตั้ง มันก็จะทำการลงแอพฯ ในเครื่อง
เมื่อแอพฯ ปลอมถูกติดตั้ง มันก็จะทำการรัน Script แล้วทำการจำลองหน้าสำหรับกรอกข้อมูลการเงินขึ้นมา เพื่อขโมยข้อมูลบัตรเครดิต หรือข้อมูลส่วนตัวต่างๆ
เห็นได้ว่าในขั้นตอนที่ 1-2 นั้น มันทำงานแบบเบื้องหลัง ซึ่งเราไม่รู้เลยว่า Script อันตรายเหล่านี้ถูกรันไปแล้ว จะมารู้ตัวอีกทีก็เข้าไปถึงขั้นตอนที่ 3 ที่เป็นการขอคำยินยอมให้ติดตั้งแอพพลิเคชั่นปลอมอีกตัว หมายความว่า ตัวแรกที่เราโหลดมาเป็นตัวเปิดทาง ให้ติดตั้งแอพฯ ปลอมอีกตัวอย่างสะดวกสบาย และในทุกขั้นตอนนั้น ถูกใส่รหัสไว้ ยิ่งทำให้ตรวจสอบยากขึ้นไปอีก
ความน่ากลัวของมันไม่ใช่การขโมยข้อมูล แต่เป็นวิธีที่มัลแวร์ Multi-stage Android Malware ใช้หลบหลีกระบบตรวจสอบ Google Play Protect ซะมากกว่า เพราะหากว่าแฮกเกอร์นำวิธีนี้ไปใช้งานกับมัลแวร์ตัวอื่นๆ อย่าง Ransomware นั้น หลายๆ คน คงจะได้รับความเสียหายอย่างหนักแน่นอน
การป้องกันและถอนการติดตั้ง
ถ้าคุณเคยดาวน์โหลดแอพพลิเคชั่นเหล่านี้ลงบนสมาร์ทโฟนหรือแท็บเล็ตของคุณ การที่จะถอนการติดตั้งแอพพลิเคชั่นนี้ได้ต้องทำทั้งหมด 3 ขั้นตอน 1. ยกเลิกการใช้งานสิทธิ Admin 2. ถอนการติดตั้งแอพพลิเคชั่นที่แอบแฝงเข้ามา 3. ถอนการติดตั้งแอพพลิเคชั่นปลอมที่ติดตั้งล่าสุด สามารถทำได้ดังนี้
การยกเลิกการใช้งานสิทธิ Admin สามารถทำได้โดยไปที่ Settings > (General) > Security > Device administrators และหาชื่อแอพฯ อย่าง Adobe Flash Player, Adobe Update หรือ Android Update
การถอนการติดตั้งแอพพลิเคชั่นแอบแฝงสามารถทำได้โดยไปที่ Settings > (General) > Application manager/Apps และหาแอพฯ อย่าง Adobe Flash Player, Adobe Update หรือ Android Update และสั่ง Uninstall
การถอนการติดตั้งแอพพลิเคชั่นปลอมที่ติดตั้งล่าสุดสามารถทำได้โดยการไปที่ Play Store และไปที่ Settings > (General) > Application manager/Apps และหาชื่อแอพฯ ดังต่อไปนี้ MEX Tools, Clear Android, Cleaner for Android, World News, WORLD NEWS, World News PRO, Игровые Автоматы Слоты Онлайн or Слоты Онлайн Клуб Игровые Автоматы หากพบให้ถอนการติดตั้งให้หมด
สุดท้ายนี้การใช้งานโทรศัพท์มือถือ หรือคอมพิวเตอร์ หากมีอะไรเด้งขึ้นมา ให้เราหยุดอ่านก่อนซักนิด และฉุกคิดว่า เราได้กดดาวน์โหลดไปหรือไม่ หรือวิธีง่ายๆ ก็คือถ้ามีอะไรเด้งขึ้นมาขออนุญาต ถ้าไม่มั่นใจว่ามันคืออะไร ให้เรากดปฏิเสธไว้ก่อนเลย และต้องเข้าใจว่าพวกระบบป้องกันไม่สามารถช่วยเราได้ทุกครั้ง เราจึงจำเป็นต้องมีความระมัดระวังในการใช้งาน ยิ่งเป็นอุปกรณ์ที่เก็บข้อมูลสำคัญๆ ไว้ ยิ่งต้องระมัดระวังเป็นพิเศษ หากทำได้ดังนี้ จะช่วยลดความเสี่ยงในการติดมัลแวร์ได้อย่างแน่นอน
ที่มา : blog.eset.co.th , www.welivesecurity.com
8/12/2017 By Thaiware