แคมเปญสปายแวร์ Android ใหม่ชื่อ GhostChat ได้ปรากฏขึ้น โดยพุ่งเป้าไปที่ผู้ใช้งานในปากีสถานผ่านกลโกง Romance Scam ที่ซับซ้อน โดยใช้โปรไฟล์หาคู่ปลอมเพื่อขโมยข้อมูลส่วนบุคคล แอปพลิเคชันที่เป็นอันตรายนี้ปลอมตัวเป็นแพลตฟอร์มแชทที่ถูกต้องตามกฎหมาย แต่แอบดำเนินการเฝ้าระวังอยู่เบื้องหลัง การโจมตีนี้แสดงให้เห็นถึงแนวโน้มอันตรายที่อาชญากรไซเบอร์รวมกลวิธีวิศวกรรมสังคมเข้ากับความสามารถของสปายแวร์ขั้นสูงเพื่อบุกรุกอุปกรณ์มือถือและเข้าถึงข้อมูลที่ละเอียดอ่อน
Severity: สูง
System Impact:
- อุปกรณ์ Android
- แอปพลิเคชัน WhatsApp (ใช้ในการสื่อสารกับผู้ก่อภัย)
Technical Attack Steps:
- ผู้ก่อภัยกระจายแอปพลิเคชัน ‘Dating Apps without payment’ (สปายแวร์ GhostChat) ที่เป็นอันตรายผ่านช่องทางที่ไม่เป็นทางการ ซึ่งต้องอาศัยการติดตั้งด้วยตนเองโดยการเปิดใช้งานการอนุญาตให้ติดตั้งแอปจากแหล่งที่ไม่รู้จัก
- แอปแสดงโปรไฟล์หาคู่ปลอม 14 โปรไฟล์ แต่ละโปรไฟล์ถูกทำเครื่องหมายว่า ‘Locked’ และต้องใช้รหัสผ่านในการเข้าถึง รหัสเหล่านี้ถูกฮาร์ดโค้ดไว้ในแอปพลิเคชันและแจกจ่ายพร้อมกับแอป
- เหยื่อป้อนรหัสปลดล็อกที่ถูกต้อง ซึ่งเชื่อว่าจะทำให้เข้าถึงโปรไฟล์พิเศษได้
- แอปพลิเคชันจะเปลี่ยนเส้นทางเหยื่อไปยัง WhatsApp เพื่อเริ่มการสนทนากับหมายเลขโทรศัพท์ที่ดำเนินการโดยผู้ก่อภัย ซึ่งเป็นหมายเลขที่มีรหัสประเทศปากีสถานเพื่อเพิ่มความน่าเชื่อถือของการหลอกลวง
- เมื่อติดตั้งแล้ว GhostChat จะขอสิทธิ์ที่จำเป็นและรวบรวมตัวระบุอุปกรณ์ รายชื่อติดต่อ และไฟล์ที่เก็บไว้ในอุปกรณ์ทันที รวมถึงรูปภาพ ไฟล์ PDF และเอกสาร Microsoft Office
- สปายแวร์มีการคงอยู่บนอุปกรณ์อย่างต่อเนื่องโดยการใช้ BOOT_COMPLETED broadcast intent ของ Android ซึ่งอนุญาตให้ทำงานโดยอัตโนมัติเมื่ออุปกรณ์รีสตาร์ท
- GhostChat ใช้เทคนิคการคงอยู่แบบ Foreground เพื่อให้บริการเฝ้าระวังทำงานอย่างต่อเนื่องโดยที่ผู้ใช้ไม่ทราบ เพื่อป้องกันคุณสมบัติการเพิ่มประสิทธิภาพแบตเตอรี่ของ Android ไม่ให้ยุติกระบวนการของสปายแวร์
- ข้อมูลที่ถูกขโมยจะถูกส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C2) ผ่านคำขอ HTTPS ซึ่งทำให้การตรวจจับยากขึ้นเนื่องจากการรับส่งข้อมูลดูเหมือนการสื่อสารที่เข้ารหัสตามปกติ
Recommendations:
Short Term:
- หลีกเลี่ยงการดาวน์โหลดและติดตั้งแอปพลิเคชันจากแหล่งที่ไม่เป็นทางการ (นอกเหนือจาก Google Play Store)
- ตรวจสอบและระมัดระวังเป็นพิเศษต่อคำขออนุญาตที่ไม่สมเหตุสมผลจากแอปพลิเคชัน โดยเฉพาะสิทธิ์ในการเข้าถึงข้อมูลส่วนตัวและไฟล์
- ระมัดระวังกลโกง Romance Scam หรือการหลอกลวงผ่านโปรไฟล์ปลอมในแอปหาคู่ หรือแพลตฟอร์มโซเชียลมีเดีย
- ติดตั้งและอัปเดตซอฟต์แวร์ป้องกันไวรัส/มัลแวร์บนอุปกรณ์มือถืออย่างสม่ำเสมอ
- หากสงสัยว่าอุปกรณ์ติดเชื้อ ให้ถอนการติดตั้งแอปพลิเคชันที่ไม่รู้จักหรือน่าสงสัยทันที และทำการสแกนอุปกรณ์ด้วยซอฟต์แวร์ป้องกันมัลแวร์ที่เชื่อถือได้
Long Term:
- ให้ความรู้แก่ผู้ใช้งานเกี่ยวกับการโจมตีทางสังคม (Social Engineering) และ Romance Scams เพื่อให้ตระหนักถึงความเสี่ยงและวิธีการป้องกัน
- ตรวจสอบความน่าเชื่อถือของแอปพลิเคชันและผู้พัฒนาอย่างละเอียดก่อนติดตั้งเสมอ โดยเฉพาะแอปที่ไม่ได้มาจากร้านค้าแอปพลิเคชันอย่างเป็นทางการ
- เปิดใช้งาน Google Play Protect หรือใช้โซลูชัน Mobile Device Management (MDM) / Enterprise Mobility Management (EMM) สำหรับองค์กรเพื่อควบคุมและตรวจสอบแอปพลิเคชันบนอุปกรณ์
- สำรองข้อมูลสำคัญบนอุปกรณ์อย่างสม่ำเสมอไปยังระบบคลาวด์หรือพื้นที่เก็บข้อมูลภายนอกที่ปลอดภัย
- พิจารณาใช้ VPN (Virtual Private Network) เพื่อเพิ่มความปลอดภัยในการสื่อสารและปกป้องข้อมูลเมื่อใช้งานเครือข่ายสาธารณะ
- จำกัดการอนุญาตของแอปพลิเคชันให้เท่าที่จำเป็นเท่านั้น และตรวจสอบการอนุญาตของแอปที่มีอยู่เป็นประจำ
- อัปเดตระบบปฏิบัติการและแอปพลิเคชันทั้งหมดบนอุปกรณ์อยู่เสมอเพื่อรับการแก้ไขช่องโหว่ด้านความปลอดภัย
Source: https://cybersecuritynews.com/ghostchat-spyware-attacking-android-users/
Share this content: