เกาหลีใต้เตือนภัย มัลแวร์แอนดรอยด์แสบ สั่งลบข้อมูลทิ้งได้จากระยะไกล
นักวิจัยด้านความปลอดภัยไซเบอร์จากเกาหลีใต้เปิดเผยการโจมตีรูปแบบใหม่ที่กลุ่มแฮกเกอร์เกาหลีเหนือ APT37 นำเครื่องมือ Google Find Hub ซึ่งเป็นระบบค้นหาอุปกรณ์หาย มาใช้ในการติดตามตำแหน่ง GPS และลบข้อมูลเครื่อง Android ของเหยื่อจากระยะไกล โดยมีการโจมตีหลายครั้งในเดือนกันยายน 2025 ที่ผ่านมา
เป้าหมายคือผู้แปรพักตร์เกาหลีเหนือ
การโจมตีครั้งนี้มุ่งเป้าไปที่ผู้แปรพักตร์จากเกาหลีเหนือที่อาศัยอยู่ในเกาหลีใต้ โดยเฉพาะเยาวชน ทีมนักวิจัยจาก Genians พบว่าแฮกเกอร์เจาะบัญชี KakaoTalk ของที่ปรึกษาด้านจิตวิทยาที่ให้บริการแก่เยาวชนผู้แปรพักตร์ จากนั้นส่งไฟล์มัลแวร์ปลอมเป็น “โปรแกรมบรรเทาความเครียด” ไปยังนักเรียนที่เป็นผู้แปรพักตร์จริง
เมื่อเหยื่อติดตั้งมัลแวร์ แฮกเกอร์จะขยายการโจมตีไปยังบัญชี Google เพื่อเข้าถึง Find Hub และควบคุมอุปกรณ์ Android ที่ลงทะเบียนไว้ทั้งหมด
เบื้องต้น แม้เป้าหมายของมัลแวร์ครั้งนี้ อยู่ที่ผู้แปรพักตร์จากเกาหลีเหนือที่อาศัยอยู่ในเกาหลีใต้ แต่ก็เป็นเรื่องที่ต้องระวัง เพราะถือเป็นการแสดงให้เห็นว่าการโจมตี เพื่อลบข้อมูลจากเครื่องผู้ใช้จากระยะไกลเป็นเรื่องที่สามารถทำได้ และเกิดขึ้นจริงๆ แล้ว
ลบข้อมูลสามครั้งเพื่อป้องกันการกู้คืน
ผู้โจมตีใช้ฟีเจอร์ติดตาม GPS ใน Find Hub เพื่อเลือกช่วงเวลาที่เหยื่ออยู่นอกบ้าน ซึ่งทำให้ไม่สามารถตอบสนองต่อสถานการณ์ได้ทันที จากนั้นรันคำสั่ง “remote reset” บนอุปกรณ์ Android ทุกเครื่องที่ลงทะเบียนไว้ ซึ่งนำไปสู่การลบข้อมูลสำคัญอย่างสมบูรณ์
ที่น่าสนใจคือแฮกเกอร์สั่งลบข้อมูล (wipe) ถึงสามครั้ง เพื่อป้องกันการกู้คืนข้อมูลและทำให้อุปกรณ์ไม่สามารถใช้งานได้เป็นระยะเวลานาน
หลังจากปิดการแจ้งเตือนบนมือถือเรียบร้อยแล้ว ผู้โจมตียังใช้ประโยชน์จากเซสชัน KakaoTalk บนคอมพิวเตอร์ที่ถูกบุกรุกเพื่อกระจายไฟล์มัลแวร์ไปยังผู้ติดต่อของเหยื่ออีกด้วย
Find Hub คืออะไร
Google Find Hub หรือที่เรียกว่า Find My Device เป็นเครื่องมือมาตรฐานของ Android ที่ช่วยให้ผู้ใช้สามารถติดตามตำแหน่ง ล็อก หรือแม้กระทั่งลบข้อมูลอุปกรณ์ Android จากระยะไกลในกรณีที่สูญหายหรือถูกขโมย ฟีเจอร์นี้เปิดใช้งานโดยอัตโนมัติเมื่อเพิ่มบัญชี Google เข้าในอุปกรณ์
แนวทางป้องกัน
นักวิจัยแนะนำให้ผู้ใช้เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับบัญชี Google และตั้งค่าบัญชีกู้คืนเพื่อให้สามารถเข้าถึงได้อย่างรวดเร็วในกรณีฉุกเฉิน นอกจากนี้ เมื่อได้รับไฟล์ผ่านแอปพลิเคชันส่งข้อความ ควรยืนยันตัวตนของผู้ส่งด้วยการโทรศัพท์โดยตรงก่อนดาวน์โหลดหรือเปิดไฟล์เสมอ
การโจมตีนี้เน้นย้ำถึงความสำคัญของการรักษาความปลอดภัยบัญชีออนไลน์ เพราะแม้แต่เครื่องมือที่ออกแบบมาเพื่อปกป้องผู้ใช้ก็อาจถูกนำไปใช้ในทางที่ผิดได้หากบัญชีถูกบุกรุก