การฝังมัลแวร์ลงสู่ระบบของเหยื่อนั้นเรียกได้ว่ามีอยู่มากมายหลายวิธี ตั้งแต่การหลอกเหยื่อให้ติดตั้ง การแฮกแบบตรง ๆ ไปจนกระทั่งเล่นกับระบบ เช่น การฝังมัลแวร์ในรูปแบบของการวางยาบนของเถื่อน

จากรายงานโดยเว็บไซต์ The Hacker News ได้รายงานถึงการที่ทีมวิจัยจากบริษัท Kaspersky ผู้พัฒนาซอฟต์แวร์แอนตี้ไวรัสชื่อดังได้ตรวจพบแคมเปญการแพร่กระจายมัลแวร์ประเภทเข้าถึงเครื่องของเหยื่อจากทางไกล (Remote Access Trojan หรือ RAT) ที่มีชื่อว่า Triada โดยการแพร่กระจายมัลแวร์ในครั้งนี้นั้นไม่ใช่การหลอกลวงด้วยการส่งลิงก์แบบ Phishing อย่างที่เป็นที่นิยมแต่อย่างใด แต่เป็นการแอบติดตั้งมัลแวร์ไว้บนโทรศัพท์มือถือปลอม (แหล่งข่าวไม่ได้ระบุชื่อแบรนด์ที่ตกเป็นเหยื่อในการปลอมแปลงแต่อย่างใด) ซึ่งทางทีมวิจัยได้เปิดเผยว่า มีการตรวจพบผู้ตกเป็นเหยื่อของมัลแวร์บนโทรศัพท์มือถือปลอมดังกล่าวเป็นจำนวนถึง 2,600 เครื่อง ในหลากประเทศทั่วโลก แต่พบมากเป็นพิเศษในประเทศรัสเซีย

สำหรับมัลแวร์ Triada นั้นก็เรียกได้ว่าไม่ใช่มัลแวร์ตัวใหม่แต่อย่างใด แต่ได้มีการตรวจพบการมีอยู่ของมัลแวร์ตัวนี้มาตั้งแต่ปี ค.ศ. 2016 (พ.ศ. 2559) โดยมัลแวร์ตัวนี้มีประสิทธิภาพในการขโมยข้อมูลอ่อนไหวหลากประเภท รวมไปถึงมักจะถูกรวบรวมใช้งานในแคมเปญแพร่กระจายมัลแวร์ประเภท Botnet (มัลแวร์ที่เข้าครอบงำระบบเครื่องของเหยื่อเพื่อใช้เป็นเครื่องมือในการยิงระบบที่ใหญ่กว่า) เพื่อใช้ในการดำเนินการกิจกรรมทางการจารกรรมข้อมูลอื่น ๆ บนเครื่องของเหยื่ออีกด้วย

ภาพจาก : https://securelist.com/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/74032/

แคมเปญในการแพร่กระจายมัลแวร์ดังกล่าวที่ผ่านมานั้นมักจะใช้วิธีการปล่อยแอปพลิเคชันแฝงมัลแวร์ลงบน Google Play Store ซึ่งเป็นแอปสโตร์อย่างเป็นทางการสำหรับผู้ใช้งานระบบปฏิบัติการ Android ซึ่งหลังจากเหยื่อทำการหลงเชื่อติดตั้ง ตัวมัลแวร์ดังกล่าวก็จะได้สิทธิ์ในการเข้าถึงระบบของเหยื่อในระดับ ROOT ซึ่งเป็นระดับสูงสุด ต่อมาตัวแคมเปญได้พัฒนามาเป็นการแพร่กระจายด้วยการสมอ้างว่าเป็นแอปพลิเคชัน WhasApp เวอร์ชันดัดแปลง (Mod) เช่น FMWhatsApp และ YoWhatsApp เพื่อใช้ในการแพร่กระจายมัลแวร์แทน

ในเวลาต่อมา ได้มีผู้ตรวจพบว่าแฮกเกอร์ได้มีการใช้มัลแวร์ดังกล่าวในเวอร์ชันดัดแปลง รวมกับแคมเปญแพร่กระจายมัลแวร์ BadBox ซึ่งเป็นมัลแวร์ประเภท Botnet โดยมีเป้าหมายเป็นแท็บเล็ตที่ใช้งาน Android, เครื่องฉายภาพ (Projector) และกล่องโทรทัศน์ที่ใช้ Android ในการทำงาน ผ่านทางการแทรกแซงห่วงโซ่อุปทาน (Supply Chain) เพื่อแอบติดตั้งมัลแวร์ลงบนตัวเครื่อง และผ่านทางการใช้ประโยชน์จากแอปสโตร์แบบ 3rd Party ที่มักติดมากับเครื่องเหล่านี้

สำหรับศักยภาพของมัลแวร์ Triada เวอร์ชันล่าสุดนั้นมีดังนี้

• ขโมยบัญชีใช้งานโซเชียลมีเดีย และแอปพลิเคชันส่งข้อความของเหยื่อมาใช้งาน
• แอบอ้างตนเป็นเหยื่อ ส่งข้อความให้เพื่อนที่อยู่บนแอปพลิเคชันส่งข้อความเช่น Telegram และ WhatsApp และลบข้อความต้นขั้วทันทีเพื่อปกปิดร่องรอยไม่ให้เหยื่อรู้ตัว
• ขโมยข้อมูลบน Clipboard ที่มีข้อมูลเกี่ยวข้องกับการใช้งานแอปพลิเคชัน หรือ กระเป๋าเงินคริปโตเคอร์เรนซี
• เฝ้ามองการใช้งานเว็บเบราว์เซอร์ รวมทั้งแอบเปลี่ยนลิงก์เข้าเว็บไซต์ต่าง ๆ โดยที่ผู้ใช้งานไม่รู้ตัว
• ดาวน์โหลดแอปพลิเคชันอื่น ๆ มาติดตั้งบนเครื่องโดยที่ไม่ได้รับอนุญาต
• ดักจับและขโมยข้อความสั้น (Short Message Service หรือ SMS)
• บล็อกการติดต่อบนเครือข่ายบางตัว เพื่อสกัดกั้นการทำงานของระบบต่อต้านการฉ้อโกง (Anti-Fraud)

เรียกได้ว่าเป็นมัลแวร์ที่มีประสิทธิภาพและความอันตรายสูงมาก จนทำให้ตัวแทนทีมวิจัยจาก Kaspersky แสดงความกังวลใจว่า มัลแวร์ดังกล่าวถึงจะมีมานานแล้ว แต่ก็ยังคงสร้างอันตรายกับผู้ใช้งานรวมทั้งมีการพัฒนาวิธีการแพร่กระจายตัวมันอยู่ตลอดเวลา นอกจากนั้นแล้วยังมีการตรวจพบอีกว่า แฮกเกอร์สามารถใช้มัลแวร์ดังกล่าว ทำเงินจากการปล้นคริปโตเคอร์เรนซีไปได้แล้วร่วม 270,000 ดอลลาร์สหรัฐ (9,212,400 บาท) ในระยะเวลาไม่ถึง 1 ปี

กระนั้น ทางตัวแทนจาก Google ผู้พัฒนา Android ก็ได้ออกมาประกาศว่า เครื่องที่ติดมัลแวร์ Triada ทั้งหมดนั้นล้วนแต่ไม่ได้อยู่ภายใต้การคุ้มครองของ Google Play Protect เนื่องจากเป็นเครื่องที่ใช้งาน Android Open Source Project (ระบบปฏิบัติการ Android ในรูปแบบที่ผู้พัฒนาเครื่องมือ นำไปดัดแปลงให้เหมาะสมกับเครื่องของตน) ไม่ใช่ระบบ Android อย่างเป็นทางการ ที่ผู้ใช้งานจะได้รับการคุ้มครองจาก Google Play Protect ที่นอกจากจะช่วยป้องกันการติดมัลแวร์ Triada แล้ว ยังช่วยคุ้มครองผู้ใช้งานจากการติดมัลแวร์ Crocodilus และ TsarBot อีกด้วย ดังนั้นผู้ใช้งานทั่วไปไม่จำเป็นต้องกังวลใจแต่อย่างใด

ที่มา : thehackernews.com