DroidLock มัลแวร์ Android ตัวใหม่ที่ร้ายกว่าที่คิด
ในยุคที่สมาร์ทโฟนเป็นส่วนหนึ่งของชีวิตประจำวัน เราต่างคุ้นเคยกับการใช้งานโทรศัพท์ Android เพื่อทำทุกอย่างตั้งแต่การสื่อสารไปจนถึงธุรกรรมทางการเงิน แต่ในขณะเดียวกัน ความกังวลเรื่องความปลอดภัยก็เพิ่มขึ้นเป็นเงาตามตัว ล่าสุดมีภัยคุกคามรูปแบบใหม่ที่ชื่อว่า “DroidLock” ปรากฏขึ้น ซึ่งสร้างความกังวลให้กับวงการความปลอดภัยทางไซเบอร์เป็นอย่างมาก
ไม่ใช่แค่แรนซัมแวร์ธรรมดา แต่มัน “ยึด” โทรศัพท์ทั้งเครื่องโดยไม่เข้ารหัสไฟล์
สิ่งที่น่าประหลาดใจที่สุดเกี่ยวกับ DroidLock คือวิธีการเรียกค่าไถ่ที่แตกต่างออกไป โดยทั่วไปแล้ว แรนซัมแวร์จะทำงานโดยการ “เข้ารหัสไฟล์” (encryption) ทำให้เราไม่สามารถเข้าถึงรูปภาพ เอกสาร หรือข้อมูลสำคัญอื่นๆ ได้จนกว่าจะจ่ายเงินแต่ DroidLock กลับใช้วิธีที่เรียกว่า “การบีบบังคับด้วยการควบคุมอุปกรณ์” (coercion by control) แทนที่จะเข้ารหัสไฟล์ มันจะล็อกผู้ใช้ออกจากโทรศัพท์ของตนเองโดยสิ้นเชิง และข่มขู่ว่าจะลบข้อมูลทั้งหมดทิ้งหากไม่จ่ายเงินตามที่กำหนด คือ อาวุธหลักของมันคือการควบคุมอุปกรณ์ทั้งหมด ไม่ใช่การเข้ารหัส กลยุทธ์นี้โจมตีไปที่ความกลัวของผู้ใช้โดยตรง เพราะแทนที่จะกังวลเรื่องไฟล์บางส่วนที่หายไป ผู้ใช้พบกับการสูญเสียการเข้าถึงทั้งหมดในโทรศัพท์ของตน
มันหลอกให้เรา “มอบกุญแจ” ให้มันด้วยตัวเอง
DroidLock แพร่กระจายผ่านกลวิธีทางวิศวกรรมสังคม (social engineering) ที่แยบยล โดยเริ่มต้นจากเว็บไซต์ฟิชชิงที่หลอกล่อให้เหยื่อดาวน์โหลดและติดตั้งแอปพลิเคชันที่เป็นอันตราย (dropper application) ซึ่งทำหน้าที่เป็นประตูในการติดตั้งมัลแวร์ตัวจริงในภายหลัง ขั้นตอนที่สำคัญที่สุดคือ เมื่อติดตั้งแล้ว มัลแวร์จะ “ร้องขอสิทธิ์ระดับสูง” โดยมันจะพยายามขอสิทธิ์สำคัญ 2 อย่าง คือ Accessibility Services และ สิทธิ์ผู้ดูแลระบบอุปกรณ์ (Device Administrator) ซึ่งสิทธิ์ทั้งสองนี้ให้อำนาจในการควบคุมฟังก์ชันต่างๆ ของเครื่องในระดับสูง การที่ผู้ใช้หลงเชื่อและกดยินยอม ก็เปรียบเสมือนการเปิดประตูหลังและมอบกุญแจให้ผู้โจมตีเข้ามาควบคุมโทรศัพท์ได้เกือบทั้งหมด นี่คือจุดที่อันตรายที่สุด เพราะมันใช้กลไกความปลอดภัยของ Android ที่ออกแบบมาเพื่อช่วยเหลือผู้พิการ (Accessibility Services) มาเป็นเครื่องมือในการทำลายความปลอดภัยของผู้ใช้เอง
เป็นมากกว่ามัลแวร์เรียกค่าไถ่ แต่เป็นเครื่องมือสอดแนมและขโมยข้อมูลชั้นยอด
นักวิจัยจาก zLabs ของ Zimperium ระบุว่าความสามารถของ DroidLock นั้นก้าวไกลกว่ามัลแวร์บนมือถือทั่วไปมาก มันไม่ได้ถูกสร้างมาเพื่อเรียกค่าไถ่อย่างเดียว แต่ยังเป็นเครื่องมือสอดแนมและขโมยข้อมูลที่มีประสิทธิภาพสูงอีกด้วย ความสามารถอื่นๆ ที่น่ากลัวของ DroidLock ได้แก่
- บังคับล็อกเครื่อง โดยแสดงหน้าจอเรียกค่าไถ่ที่เลียนแบบหน้าจออัปเดตระบบ (system update) เพื่อหลอกให้ผู้ใช้ตายใจ
- ล้างข้อมูลทั้งหมดในเครื่อง ไม่ใช่แค่คำขู่ แต่มีความสามารถในการลบอุปกรณ์เป้าหมายได้อย่างสมบูรณ์
- แสดงหน้าจอล็อกอินปลอมทับแอปจริงเพื่อขโมยข้อมูลบัญชีและข้อมูลธนาคาร
- จับภาพหน้าจอแบบเงียบๆ โดยที่ผู้ใช้ไม่รู้ตัว
- เปิดใช้งานกล้องของอุปกรณ์เพื่อแอบถ่ายภาพ
- เปลี่ยน PIN หรือข้อมูลไบโอเมตริกในการปลดล็อกเครื่อง
- ถอนการติดตั้งแอปพลิเคชันอื่น โดยเฉพาะแอปความปลอดภัย
- ปิดเสียงของระบบเพื่อไม่ให้มีการแจ้งเตือน
ความสามารถที่หลากหลายนี้ทำให้ DroidLock เป็นภัยคุกคามที่ซับซ้อนและอันตรายกว่าแค่การล็อกเครื่องเพื่อเรียกค่าไถ่ธรรมดาๆ
อาจเป็นแค่จุดเริ่มต้นของภัยคุกคามระลอกใหม่
แม้ว่าในปัจจุบัน DroidLock จะถูกพบในแคมเปญที่มุ่งเป้าไปยังผู้ใช้ในประเทศสเปนเท่านั้น แต่นักวิจัยเตือนว่านี่อาจเป็นเพียงจุดเริ่มต้น ผลกระทบในวงกว้างของมันน่ากังวลอย่างยิ่ง เพราะฟังก์ชันของมันอาจเป็นสัญญาณของแคมเปญมัลแวร์และแรนซัมแวร์รูปแบบใหม่ที่จะเกิดขึ้นในอนาคต
นั่นหมายความว่า แม้ตอนนี้เราอาจจะยังไม่ได้รับผลกระทบโดยตรง แต่รูปแบบการโจมตีที่ DroidLock ใช้ ซึ่งผสมผสานระหว่างวิศวกรรมสังคม การขอสิทธิ์ระดับสูง และการควบคุมอุปกรณ์จากระยะไกล อาจกลายเป็นต้นแบบสำหรับมัลแวร์ตัวอื่นๆ ที่จะเกิดขึ้นในอนาคตอันใกล้นี้
DroidLock คือตัวอย่างที่ชัดเจนของภัยคุกคามบนมือถือที่ฉลาดและซับซ้อนขึ้นเรื่อยๆ การป้องกันที่ดีที่สุดคือการเตรียมพร้อมและระมัดระวังอยู่เสมอ สำหรับผู้ใช้ทั่วไป มีคำแนะนำง่ายๆ ดังนี้
- ติดตั้งแอปจาก Google Play Store เป็นหลัก หลีกเลี่ยงการดาวน์โหลดไฟล์ .apk จากเว็บไซต์ภายนอกที่ไม่น่าเชื่อถือ หรือจากลิงก์ที่ส่งมาทางข้อความ
- ตั้งข้อสงสัยกับแอปที่ร้องขอสิทธิ์เกินความจำเป็น โดยเฉพาะอย่างยิ่งแอปใดก็ตามที่ร้องขอสิทธิ์ในการเข้าถึง (Accessibility) หรือสิทธิ์ผู้ดูแลระบบอุปกรณ์ (Device Administrator) ให้ตรวจสอบอย่างละเอียดว่าแอปนั้นจำเป็นต้องใช้สิทธิ์ดังกล่าวจริงๆ หรือไม่
ข่าวสารที่เกี่ยวข้อง
ข่าวสารล่าสุด
