เตือน 'นักช้อป' ระวัง 'โทรจัน' สร้างรีวิวสินค้าปลอม

นักวิจัยของแคสเปอร์สกี้ตรวจจับแอพพลิเคชั่น "โทรจัน" ที่คุกคามผู้ใช้งานด้วยโฆษณาที่ไม่ต้องการ และติดตั้งแอพพลิเคชั่นออนไลน์ช้อปปิ้งเองเสร็จสรรพ วิธีนี้สามารถหลอกได้ทั้งผู้ใช้งานและเจ้าของโฆษณาชี้แอพร้ายนี้จะมุ่งไปที่แอพสโตร์และลงข้อมูลรีวิวต่างๆ โดยใช้ชื่อของผู้ใช้โดยที่เจ้าของไม่รู้ตัว

แคสเปอร์สกี้ ออกคำเตือนนักช้อปทั่วโลก ระวังตกเป็นเหยื่อภัยไซเบอร์ตัวฉกาจอย่าง "โทรจัน" (Trojan-Dropper.AndroidOS.Shopper.a)โดยเฉพาะช่วงนี้ ร้านค้ามากมายกำลังจัดโปรโมชั่นลดราคากันต่อเนื่อง ซึ่งร้านค้าและลูกค้าเองต้องระแวดระวังในการเลือกร้านค้า ที่โดยปกติลูกค้ามักจะเชื่อถือร้านค้าที่มีรีวิวดีๆ จำนวนมาก ร้านค้าปลีกเองก็ทุ่มงบโฆษณาและจัดโปรโมชั่น หากเรื่องอาจกลับตาลปัตรได้ เมื่อสิ่งที่เห็นออนไลน์นั้น อาจไม่ใช่ "ของจริง" ด้วยมีแอพพลิคชั่นโทรจันที่ปั่นเรทติ้งให้ "แอพช้อปปิ้ง" ที่เราคุ้นตา แถมติดตั้งและแพร่กระจายโฆษณาจำนวนมากจนก่อให้เกิดความรำคาญ

นักวิจัยของแคสเปอร์สกี้ สังเกตเห็นลักษณะการใช้ Google Accessibility Service และการทำงานแบบคลุมเครือของโทรจัน "ช้อปเปอร์" (Shopper) ที่โดยปกติแล้ว บริการนี้จะมีฟีเจอร์ที่ถูกออกแบบมา เพื่อช่วยเหลือผู้พิการให้ผู้ใช้สามารถตั้งค่าเสียง เพื่ออ่านเนื้อหาของแอพ และมียูสเซอร์อินเทอร์เฟซที่โต้ตอบได้อย่างอัตโนมัติ แต่ผู้ร้ายไซเบอร์กลับใช้ฟีเจอร์นี้เพื่อก่อภัยคุกคามแก่เจ้าของดีไวซ์

เมื่อมัลแวร์ได้รับสิทธิให้ใช้บริการนี้ จะสามารถเข้าถึงแอพพลิเคชั่นและซิสเต็มอินเทอร์เฟซที่ใช้โต้ตอบได้อย่างไม่จำกัด มัลแวร์ จะสามารถแคปหน้าจอ กดปุ่ม และเลียนแบบท่าทางผู้ใช้งานได้ ขณะที่ นักวิจัยเองก็ยังไม่ทราบแน่ชัดว่าแอพพลิเคชั่นนี้แพร่กระจายได้อย่างไร แต่คาดว่า อาจเป็นการดาวน์โหลดจากโฆษณาปลอม หรือแอพสโตร์ที่เป็น Third party โดยแอพนี้จะปลอมตัวเป็นซิสเต็มแอพพลิเคชั่น และใช้ไอคอนชื่อ ConfigAPKs เพื่อหลบซ่อนตัวหลังปลดล็อกหน้าจอแล้ว แอพจะเปิดตัวเอง เก็บข้อมูลเกี่ยวกับเหยื่อเจ้าของดีไวซ์ และส่งไปยังเซิร์ฟเวอร์ของผู้ร้าย เซิร์ฟเวอร์จะส่งคำสั่งกลับมายังแอพพลิเคชั่น

นั่นจะทำให้เจ้าวายร้ายสามารถดำเนินการต่างๆ ได้ประหนึ่งเป็นเจ้าของเครื่องเอง เช่นใช้แอคเคาท์กูเกิล หรือเฟซบุ๊คของเจ้าของเครื่อง ลงทะเบียนใช้งานแอพช้อปปิ้ง หรือแอพอื่นๆ เช่น อาลีเอ็กซเพรส ลาซาด้า ซาโลร่า และอาลีบาบา เป็นต้น หรืออาจมีการเขียนรีวิวต่างๆ ในกูเกิล เพลย์ ได้ด้วยในชื่อเจ้าของเครื่อง

แคสเปอร์สกี้ รายงานว่าสัดส่วนของเหยื่อที่ถูก "Trojan-Dropper.AndroidOS.Shopper.a" โจมตีมากที่สุดช่วงเดือน ต.ค.-พ.ย.2562คือ รัสเซีย อยู่ที่ 28.46% ตามด้วยบราซิล 18.70% และอินเดีย 14.23%

"อิกอร์ โกโลวิน"นักวิเคราะห์มัลแวร์ของแคสเปอร์สกี้ กล่าวว่า แม้อันตรายของแอพร้ายนี้จำกัดอยู่ที่โฆษณาที่ไม่ต้องการ รีวิวปลอม และเรทติ้งปลอม ที่ใช้ชื่อของเหยื่อโดยไม่รู้ตัว แต่ก็ไม่มีอะไรรับรองได้ว่าผู้ร้ายที่สร้างแอพนี้ จะไม่เพิ่มหรือเปลี่ยนเป้าหมายไปอย่างอื่น เจ้าแอพตัวร้ายนี้พุ่งเป้าไปที่ร้านค้าด้วย แต่ก็มีความสามารถในการกระจายข้อมูลลวงไปยังแอคเคาท์โซเชียลมีเดียของเหยื่อ และแพลตฟอร์มอื่นๆ เช่น สามารถแชร์วีดิโอบนเพจส่วนตัว และปล่อยข้อมูลลวงต่างๆ สู่อินเทอร์เน็ต

อย่างไรก็ตาม แคสเปอร์สกี้ ได้ออกคำแนะนำเพื่อลดความเสี่ยงการถูกมัลแวร์ลักษณะนี้โจมตี ให้ระวังแอพที่ขอเข้าใช้ Accessibility Service โดยไม่จำเป็น ตรวจสอบการอนุญาตสิทธิแอพพลิเคชั่นต่างๆ อย่างสม่ำเสมอ อย่าติดตั้งแอพจากแหล่งที่ไม่น่าเชื่อถือ และตั้งค่าบล็อกการติดตั้งแอพจากแหล่งที่ไม่รู้จัก ใช้โซลูชั่นเพื่อความปลอดภัยสำหรับโมบาย ที่สามารถช่วยระบุคำขอที่อาจเป็นอันตรายหรือคำขอที่ส่งจากแอพพลิเคชั่นที่น่าสงสัย และอธิบายความเสี่ยงที่เกิดจากคำขอแต่ละประเภท