เตือนภัยมัลแวร์ตัวใหม่ ขโมยพาสเวิร์ดเฟซบุ๊กจากมือถือ

นักวิจัยด้านซีเคียวริตี้จากเทรนด์ไมโคร (TrendMicro) และเอเวสต์ (Avest) พบมัลแวร์เวอร์ชันใหม่แฝงตัวอยู่ในแอปพลิเคชันที่เปิดให้ดาวน์โหลดบนกูเกิลเพลย์สโตร์อย่างน้อย 56 แอปพลิเคชันแล้ว ซึ่งความสามารถของมัลแวร์เหล่านี้คือการขโมยพาสเวิร์ดเฟซบุ๊ก และการแสดงโฆษณาให้ผู้ใช้งานได้เห็นกันได้แบบไม่เกรงใจ

โดยทั้งสองบริษัทเรียกมัลแวร์เหล่านี้ว่าโกสต์ทีม (GhostTeam) เหตุที่เรียกด้วยชื่อนั้นเป็นเพราะมันปลอมตัวให้อยู่ในรูปของแอปพลิเคชันทั่วไป เช่น เป็นแอปพลิเคชันไฟฉาย เป็นแอปพลิเคชันสำหรับสแกนคิวอาร์โค้ด แอปพลิเคชันเข็มทิศ หรือแอปพลิเคชันสำหรับเพิ่มประสิทธิภาพการทำงานของสมาร์ทโฟน

ทั้งนี้ ภายในตัวของมันเองจะไม่มีการแทรกโค้ดการทำงานของมัลแวร์ลงไปแต่อย่างใด เพราะถ้ามีโค้ดเหล่านี้แทรกไว้ ระบบของกูเกิลเพลย์ก็จะตรวจพบ แต่เมื่อติดตั้งลงในเครื่องเมื่อไร และตรวจสอบแล้วพบว่าเครื่องนั้นไม่ใช่ตัวอิมูเลเตอร์ มันจะเริ่มดาวน์โหลดมัลแวร์เข้ามาในเครื่อง พร้อมกับขอให้ผู้ใช้งานอนุญาตการเข้าถึงอุปกรณ์ระดับแอดมินเพื่อให้ตนเองสามารถยึดเครื่องเอาไว้ใช้ตามที่อาชญากรต้องการได้

โดยการทำงานของมันจะเริ่มจากการเก็บข้อมูลการใช้งานต่าง ๆ ของเครื่องเท่าที่ทำได้ เช่น ไอดีของอุปกรณ์ โลเคชัน ภาษาที่ใช้ ฯลฯ และเมื่อใดก็ตามที่มีการเปิดใช้งานแอปพลิเคชันเฟซบุ๊ก มัลแวร์จะปลอมตัวไปครอบเพื่อหลอกให้ผู้ใช้งานนึกว่าต้องทำการกรอกพาสเวิร์ดใหม่เพื่อล็อกอินเข้าเฟซบุ๊กอีกครั้ง ซึ่งไม่ต่างจากเทคนิคฟิชชิ่งทั่วไป และเมื่อเก็บยูสเซอร์เนมกับพาสเวิร์ดได้แล้วก็จะส่งต่อให้กับแฮกเกอร์เป็นอันจบกระบวนการทำงาน

สิ่งที่เทรนด์ไมโครแสดงความวิตกกังวลเกี่ยวกับมัลแวร์ในลักษณะนี้มีหลายประเด็น ประเด็นแรกคือการนำแอคเคาน์ไปใช้แพร่กระจายข่าวปลอมซึ่งถือว่ายังไม่ร้ายแรงมาก ส่วนประเด็นที่สองนั้นน่าอันตรายกว่า เพราะเป็นเรื่องเกี่ยวกับข้อมูลทางการเงิน และข้อมูลส่วนบุคคลที่อาจนำไปขายในตลาดมืดได้

เทรนด์ไมโครบอกด้วยว่า โกสต์ทีมนี้น่าจะพัฒนาขึ้นโดยชาวเวียดนาม เนื่องจากพบการใช้ภาษาเวียดนามอยู่ในซอร์สโค้ด

สำหรับประเทศที่ได้รับผลกระทบจากโกสต์ทีมนั้นมีตั้งแต่อินเดีย อินโดนีเซีย บราซิล เวียดนาม และฟิลิปปินส์

แต่นอกจากถูกขโมยข้อมูลสำคัญจากเฟซบุ๊กแล้ว สิ่งที่มัลแวร์โกสต์ทีมทำยังรวมถึงการดึงโฆษณามานำเสนอตลอดเวลาด้วย ซึ่งสามารถสร้างความรำคาญใจให้ผู้ใช้งานได้มากเลยทีเดียว

อย่างไรก็ดี แอปพลิเคชันที่พบว่ามีการทำงานในลักษณะนี้ได้ถูกลบออกไปจากกูเกิลเพลย์สโตร์แล้วหลังจากที่เทรนด์ไมโครรายงานเข้าไปที่กูเกิล ส่วนผู้ที่ดาวน์โหลดมาติดตั้งในเครื่องแล้วก็ต้องสังเกตว่าการทำงานของเครื่องแปลกไปหรือไม่ หรือมีโฆษณาที่ไม่เหมาะสมแสดงขึ้นมาบ่อย ๆ หรือไม่

สิ่งที่สังเกตได้ดีอีกข้อหนึ่งก็คือ การขอ Permission ของแอปพลิเคชัน ถ้าขอระดับแอดมินก็เป็นไปได้ว่าแอปพลิเคชันนั้นคงไม่เหมาะที่จะติดตั้งลงในเครื่องเท่าไรนัก ส่วนคำเตือนที่เทรนด์ไมโครเตือนได้อีกข้อหนึ่งก็คือ ควรติดตั้งซอฟต์แวร์แอนติไวรัสเอาไว้และหมั่นอัปเดตอย่างสม่ำเสมอนั่นเอง

ที่มา : https://thehackernews.com/2018/01/facebook-password-hacking-android.html