แอปพลิเคชัน RedAlert ที่แฝงด้วยมัลแวร์
กลุ่มอาชญากรไซเบอร์ได้สร้างแอปพลิเคชัน RedAlert เวอร์ชันที่เป็นอันตราย ซึ่งออกแบบมาให้เลียนแบบแพลตฟอร์มแจ้งเตือนภัยฉุกเฉินของแท้ได้อย่างแนบเนียน เมื่อมองแวบแรก แอปพลิเคชันปลอมนี้ดูเหมือนของจริง โดยจำลองการออกแบบ ฟังก์ชันการทำงาน และประสบการณ์การใช้งานโดยรวมของบริการของแท้ อย่างไรก็ตาม ภายในแอปพลิเคชันเลียนแบบนี้ซ่อนสปายแวร์ที่มุ่งหมายจะแทรกซึมเข้าไปในอุปกรณ์และดึงข้อมูลสำคัญออกมา
เป้าหมายหลักของแอปพลิเคชันที่ติดมัลแวร์นี้คือการรวบรวมข้อมูลส่วนบุคคลและข้อมูลตำแหน่งที่ตั้งจากเหยื่อโดยที่เหยื่อไม่รู้ตัว เมื่อติดตั้งแล้ว มัลแวร์จะทำงานอย่างเงียบๆ ควบคู่ไปกับอินเทอร์เฟซของแอปพลิเคชันที่ดูเหมือนปกติ ทำให้กิจกรรมที่เป็นอันตรายไม่ถูกตรวจพบเป็นเวลานาน
สารบัญ
แคมเปญ Smishing เป็นวิธีการกระจายสินค้าหลัก
แอปพลิเคชันที่เป็นอันตรายนี้แพร่กระจายผ่านการโจมตีแบบฟิชชิ่งทาง SMS หรือที่รู้จักกันทั่วไปว่า สมิชชิ่ง (smishing) ในการโจมตีเหล่านี้ อาชญากรไซเบอร์จะส่งข้อความหลอกลวงที่ดูเหมือนจะมาจากแหล่งที่มาอย่างเป็นทางการ เช่น หน่วยบัญชาการป้องกันประเทศของอิสราเอล ข้อความเหล่านี้มักจะเตือนผู้รับเกี่ยวกับการอัปเดตความปลอดภัยที่เร่งด่วนและแนะนำให้ดาวน์โหลดแอปพลิเคชัน RedAlert เวอร์ชันล่าสุด
ลิงก์ที่ฝังอยู่ในข้อความไม่ได้นำไปสู่ร้านค้าแอปพลิเคชันอย่างเป็นทางการ แต่จะนำเหยื่อไปดาวน์โหลดไฟล์ติดตั้งที่เป็นอันตราย เมื่อผู้ใช้ทำตามคำแนะนำและติดตั้งไฟล์นั้นจากภายนอก Google Play Store ซึ่งเป็นวิธีการที่เรียกว่า sideloading แอปพลิเคชันเวอร์ชันที่มีมัลแวร์ก็จะถูกติดตั้งลงในอุปกรณ์
รูปลักษณ์ที่ดูสมจริง ออกแบบมาเพื่อหลีกเลี่ยงการถูกสงสัย
เมื่อเปิดใช้งานแล้ว แอปพลิเคชันปลอมนี้จะเลียนแบบแพลตฟอร์ม RedAlert ของแท้อย่างใกล้ชิด อินเทอร์เฟซ รูปแบบ และฟังก์ชันการทำงานโดยรวมดูเหมือนกับแอปต้นฉบับทุกประการ มันยังแสดงการแจ้งเตือนการโจมตีด้วยจรวดจริง ๆ ซึ่งช่วยเสริมสร้างภาพลวงตาของความถูกต้องและป้องกันไม่ให้ผู้ใช้รู้ตัวได้ทันทีว่าอุปกรณ์ของตนถูกบุกรุก
ความแตกต่างที่สำคัญจะเห็นได้ชัดเจนในระหว่างกระบวนการเริ่มต้นใช้งาน ในขณะที่แอปพลิเคชัน RedAlert ที่ถูกต้องจะขออนุญาตเพียงแค่ส่งการแจ้งเตือนเท่านั้น แต่เวอร์ชันที่เป็นอันตรายจะเรียกร้องสิทธิ์การเข้าถึงเพิ่มเติมที่ไม่จำเป็น
แอปพลิเคชันปลอมแปลงนี้ขออนุญาตดังต่อไปนี้:
- การเข้าถึงรายชื่อผู้ติดต่อของอุปกรณ์
- ขออนุญาตอ่านข้อความ SMS
- การเข้าถึงข้อมูลตำแหน่งและข้อมูล GPS
การอนุญาตเหล่านี้ไม่จำเป็นสำหรับการส่งการแจ้งเตือนฉุกเฉิน อย่างไรก็ตาม แอปพลิเคชันที่เป็นอันตรายจะแสดงให้เห็นว่าการอนุญาตเหล่านี้จำเป็น และกระตุ้นให้ผู้ใช้ยินยอมให้เข้าถึงข้อมูล
การเฝ้าระวังเบื้องหลังและการเก็บรวบรวมข้อมูลอย่างต่อเนื่อง
หลังจากติดตั้งแล้ว แอปพลิเคชันที่ติดมัลแวร์จะเริ่มทำงานในพื้นหลัง แทนที่จะรอให้ได้รับสิทธิ์การเข้าถึงอย่างเต็มที่ มัลแวร์จะตรวจสอบสิทธิ์ที่ได้รับอนุญาตอย่างต่อเนื่อง เมื่อใดก็ตามที่ได้รับอนุญาตอย่างน้อยหนึ่งรายการ การเก็บรวบรวมข้อมูลจะเริ่มต้นทันที
สปายแวร์นี้จะดึงข้อมูลส่วนบุคคลประเภทต่างๆ จากอุปกรณ์ที่ถูกโจมตี และส่งข้อมูลเหล่านั้นไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุมอยู่ ข้อมูลที่ถูกเก็บรวบรวมอาจรวมถึง:
- ข้อความ SMS และข้อมูลเมตาของข้อความ
- รายชื่อผู้ติดต่อและรายละเอียดที่เกี่ยวข้อง
- ข้อมูลตำแหน่ง GPS แบบเรียลไทม์
ข้อมูลนี้จะถูกส่งไปยังโครงสร้างพื้นฐานการควบคุมและสั่งการระยะไกลที่ควบคุมโดยอาชญากรไซเบอร์โดยอัตโนมัติ
ความเสี่ยงด้านความปลอดภัยและความปลอดภัยส่วนบุคคล
การรวบรวมข้อมูลส่วนบุคคลและข้อมูลตำแหน่งที่ตั้งโดยไม่ได้รับอนุญาตก่อให้เกิดความเสี่ยงด้านความปลอดภัยอย่างร้ายแรงต่อผู้ตกเป็นเหยื่อ การเปิดเผยข้อความส่วนตัวและรายชื่อผู้ติดต่ออาจทำให้ผู้โจมตีสามารถดำเนินการโจรกรรมข้อมูลส่วนบุคคลหรือทำการโจมตีโดยใช้เทคนิควิศวกรรมสังคมแบบเจาะจงเป้าหมายได้
การติดตามตำแหน่งที่ตั้งถือเป็นภัยคุกคามที่ร้ายแรงยิ่งกว่า การตรวจสอบการเคลื่อนไหวของบุคคลแบบเรียลไทม์อาจทำให้บุคคลนั้นตกอยู่ในอันตรายทางกายภาพ โดยเฉพาะในพื้นที่ที่มีความขัดแย้ง หรือในกรณีที่เกี่ยวข้องกับการเฝ้าระวังแบบเจาะจงเป้าหมาย
การเข้าถึงข้อความ SMS ยังสร้างโอกาสให้ผู้โจมตีสามารถดักจับรหัสยืนยันตัวตนได้ โดยการดักจับข้อความเหล่านี้ อาชญากรไซเบอร์อาจหลีกเลี่ยงการป้องกันการยืนยันตัวตนสองขั้นตอนและเข้าถึงบัญชีออนไลน์โดยไม่ได้รับอนุญาต ซึ่งอาจนำไปสู่การยึดครองบัญชีและความเสียหายทางการเงินหรือส่วนบุคคลเพิ่มเติมได้
การประเมินขั้นสุดท้าย: ภัยคุกคามจากสปายแวร์ที่ปลอมตัวเป็นเครื่องมือรักษาความปลอดภัย
แอปพลิเคชัน RedAlert ที่ถูกดัดแปลงด้วยมัลแวร์ แสดงให้เห็นว่าผู้ไม่ประสงค์ดีใช้ประโยชน์จากบริการฉุกเฉินที่น่าเชื่อถือเพื่อหลอกลวงผู้ใช้และบุกรุกอุปกรณ์ของพวกเขา โดยการเลียนแบบแอปพลิเคชันที่ถูกต้องและเผยแพร่ผ่านแคมเปญหลอกลวงทางข้อความ (smishing) ที่น่าเชื่อถือ ผู้โจมตีสามารถเข้าถึงข้อมูลส่วนบุคคลที่ละเอียดอ่อนได้โดยไม่ก่อให้เกิดความสงสัยในทันที
บุคคลใดที่สงสัยว่ามีการติดตั้งแอปพลิเคชันเวอร์ชันที่เป็นอันตรายนี้ ควรลบแอปพลิเคชันนั้นทันที และตรวจสอบสิทธิ์การเข้าถึงอุปกรณ์และซอฟต์แวร์ที่ติดตั้งไว้ เพื่อให้แน่ใจว่าไม่มีการเข้าถึงที่ไม่ได้รับอนุญาตหลงเหลืออยู่
