นี่อาจจะเป็นหนึ่งในข่าวสุดพีค รับสิ้นปีเลยก็ว่าได้ครับ เพราะนักวิจัยความปลอดภัยไปพบเจอมัลแวร์ตัวใหม่บน Android ที่ตอนนี้เริ่มแพร่หลายในประเทศจีน มัลแวร์ตัวนี้มีชื่อว่า Switcher โดยมันจะปลอมตัวมาเป็นแอปบน Android โดยมีการตั้งชื่อกลายเป็นแอป Baidu แอป Search ยอดนิยมในจีน (เพราะจีนไม่มี Google) แล้วบุกรุกเครือข่ายอินเตอร์เน็ตที่เชื่อมต่อไปยึกเครื่องเราเตอร์ของเหยื่อได้

มัลแวร์ Switcher นั้นไม่ได้ปลอมเป็นแค่แอป Baidu (com.baidu.com) แต่เพียงชื่อเดียวครับ ยังพบว่ามีการปลอมเป็นแอปแชร์รหัส Wi-Fi (com.snda.wifilocating) อีกด้วย สำหรับมัลแวร์ Switcher ตัวนี้คาดว่าอาศัยช่องโหว่ของการติดตั้งแอปนอก Play Store ทำให้ติดตั้งเข้าไปในเครื่องของเหยื่อได้

ในส่วนของการทำงานของ Switcher นั้นก็คือ เมื่อเข้าสู่ Android เครื่องเป้าหมายได้แล้ว มันจะพยายามเข้าถึงสิทธิ์การควบคุม Router ของอินเตอร์ทีเครื่องเหยื่อเชื่อมต่ออยู่ โดยจะอาศัยสคริปท์ javascript ในการสุ่ม username และ password จากชุดไฟล์พจนานุกรมที่แฮกเกอร์ทำไว้ หรือเรียกอีกอย่างก็เกือบๆ จะเป็นการโจมตีสุ่มรหัสแบบ Brute Force ได้ครับ

หลังจากที่มัลแวร์สุ่มรหัสได้จนถูก และยึดครองการควบคุมเปลี่ยนแปลงการตั้งค่าของ Router ได้ ก็จะไปตั้งค่า DNS ปลอมให้กับ Router เพื่อที่เวลาเหยื่อเข้าสู่เว็บไซต์บางเว็บไซต์ แทนที่จะได้รับข้อมูลกลับมาจากเว็บไซต์จริง ก็จะถูกลิงก์ไปยังหน้าเว็บไซต์หลอกที่แฮกเกอร์ทำขึ้นมา และสามารถดักข้อมูลสารพัด (phishing) ที่เราใส่เข้าไปได้นั่นเอง

นักวิจัยรายงานว่ามัลแวร์ตัวนี้เผยแพร่ติดต่อไปบน Router แล้วร่วม 1,300 เครื่องในประเทศจีน และยังบอกอีกด้วยว่าหากถูกโจมตีสำเร็จแล้ว การรีเซ็ท Router ก็ไม่แก้ปัญหานี้ด้วย ในความน่ากลัวของมันยังพอมีข่าวดีอยู่นิดนึงครับ นั่นก็คือทางนักวิจัยบอกว่าสคริปท์ที่ใช้รันเข้าสู่ระบบ Router นั้นใช้งานได้กับหน้าเว็บของ Router ของ TP-Link เท่านั้น

อย่างไรก็ตาม เพื่อความปลอดภัยสำหรับผู้ใช้ Android สิ่งที่ควรระมัดระวังก็คือการติดตั้งแอปจากนอก Play Store ครับ เราไม่แนะนำให้ทำเช่นนั้น เพราะเราไม่ทราบแน่ชัดว่าแอปที่นำมาติดตั้งนั้นปลอดภัยจริงหรือเปล่า เอาให้ชัวร์สุดก็คือติดตั้งผ่าน Play Store ที่กูเกิลมีการตรวจสอบอยู่อย่างสม่ำเสมอดีกว่าครับ 🙂

 

ที่มา: The Hacker News