Android.Phantom มัลแวร์รุ่นใหม่ใช้ AI เล่นงานมือถือ Android ให้คลิกโฆษณาฉ้อโกงอัตโนมัติ
นักวิเคราะห์ความปลอดภัยไซเบอร์พบปรากฏการณ์ใหม่ในโลกของมัลแวร์ Android ที่มีชื่อว่า Android.Phantom ถูกจับตาว่ากำลังแพร่กระจายอย่างรวดเร็วโดยใช้ AI เพื่อเพิ่มความสามารถในการโจมตีและสร้างเครือข่ายควบคุมแบบถาวรบนอุปกรณ์ที่ถูกติดมัลแวร์
Android.Phantom ทำงานผ่าน สองโหมดปฏิบัติการหลัก ที่แตกต่างกัน ได้แก่ “phantom” และ “signaling” ซึ่งถูกควบคุมโดยเซิร์ฟเวอร์คำสั่งและควบคุม (command-and-control) ที่อยู่เบื้องหลังมัลแวร์ โดยในโหมด phantom แอปจะใช้เบราว์เซอร์ WebView ที่ซ่อนไว้เพื่อนำโหลดหน้าเว็บเป้าหมายและรันโค้ด JavaScript ที่ใช้ TensorFlowJS โมเดล machine learning เพื่อวิเคราะห์ภาพหน้าจอเสมือนและคลิกโฆษณาโดยอัตโนมัติ เป้าหมายคือสร้างรายได้จาก การฉ้อโกงโฆษณาออนไลน์ (ad fraud) โดยที่เหยื่อไม่รู้ตัว
ในอีกโหมดหนึ่งที่เรียกว่า signaling มัลแวร์จะใช้เทคโนโลยี WebRTC เพื่อสร้างการเชื่อมต่อแบบ peer-to-peer ระหว่างอุปกรณ์ที่ติดเชื้อกับผู้โจมตี ทำให้ผู้ไม่หวังดีสามารถแพร่สัญญาณวิดีโอแบบถ่ายทอดสดของหน้าจอที่ติดมัลแวร์ และควบคุมเว็บเบราว์เซอร์จากระยะไกลเพื่อจัดการคลิกหรือการโต้ตอบอื่น ๆ ได้ตามต้องการ ซึ่งเปลี่ยนอุปกรณ์ที่ติดมัลแวร์ให้กลายเป็น “บอทอัจฉริยะ” ที่ควบคุมได้ทั้งแบบอัตโนมัติและโดยมนุษย์
การพัฒนาเทคนิคและการโจมตีหลายขั้นของ Android.Phantom
นักวิจัยระบุว่าแคมเปญมัลแวร์นี้ไม่ได้เกิดขึ้นเพียงเวอร์ชันเดียว แต่มีการพัฒนา หลายขั้นตอน (multi-stage) ตลอดระยะเวลา โดยไฟล์เกมที่เกี่ยวข้องกับ Android.Phantom เริ่มแรกเป็นเวอร์ชัน “สะอาด” ที่ไม่ติดมัลแวร์ จนถึงช่วงปลายเดือนกันยายน 2025 เมื่อผู้พัฒนาแทรกโมดูล Android.Phantom.2.origin เข้าไป จากนั้นในกลางเดือนตุลาคมมีการอัปเดตที่เพิ่ม Android.Phantom.5 dropper module ซึ่งทำหน้าที่ดึงไฟล์ loader จากระยะไกล พร้อมทั้งติดตั้งทั้งคลิกเกอร์และส่วนประกอบสายลับ (spyware) เข้าไปในระบบอย่างลับ ๆ
กลยุทธ์แบบหลายขั้นตอนนี้ทำให้ Android.Phantom สามารถหลบหลีกมาตรการรักษาความปลอดภัยทั่วไป เช่น การสแกนแบบ signature-based หรือระบบป้องกันที่ตรวจเฉพาะพฤติกรรมพื้นฐานของมัลแวร์ได้ง่ายยิ่งขึ้น เพราะโค้ดอันตรายจริงถูกดาวน์โหลดเข้ามาหลังจากที่แอปแรกติดตั้งแล้วเท่านั้น
นั่นหมายถึงมัลแวร์สามารถแฝงตัวอยู่ในแอปที่ดูเหมือน “ปลอดภัย” ในตอนแรก ก่อนจะเปิดฟังก์ชันอันตรายในเวลาต่อมา ซึ่งเป็นเทคนิคที่คล้ายกับที่เราเห็นในแคมเปญมัลแวร์ Android เก่า ๆ ที่แฝงตัวในแอปธนาคารหรือแอปพลิเคชันยอดนิยมอื่น ๆ