อุปกรณ์ Android กว่าล้านเครื่องทั่วโลก กำลังติดมัลแวร์ Badbox 2.0 อยู่ ณ ตอนนี้

Android นั้นถึงแม้จะเป็นระบบปฏิบัติการสำหรับอุปกรณ์พกพา รวมไปถึงเครื่องใช้ไฟฟ้าสมัยใหม่ต่าง ๆ ที่ได้รับความนิยมมากที่สุดในโลก รวมทั้งได้รับการอัปเดตด้านความปลอดภัยอย่างสม่ำเสมอ แต่ก็มักจะมีข่าวการถูกแฮกหรือถูกมัลแวร์โจมตีอยู่บ่อย ๆ อย่างเช่นในกรณีนี้

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบการระบาดของมัลแวร์สำหรับใช้งานเครื่องของเหยื่อเพื่อการยิงระบบอื่น หรือ Botnet อย่าง Badbox 2.0 ซึ่งเป็นมัลแวร์ที่พัฒนาค่อยอดมาจาก Badbox ซึ่งในเวอร์ชันล่าสุดนั้นมีความสามารถในการเข้ายึดระบบ (Compromise) และ การขโมยไฟล์ออกจากเครื่องของเหยื่อที่ดีกว่าเดิม รวมทั้งมีการใช้ตัวกลางในการแพร่กระจายมัลแวร์ (Vector) ที่หลากหลายไม่ว่าจะเป็น การดัดแปลงเฟิร์มแวร์แบบสอดแทรกมัลแวร์, การใช้งานแอปพลิเคชันแบบสอดไส้มัลแวร์, ไปจนถึงการแทรกตัวในห่วงโซ่อุปทาน (Supply Chain) เพื่อแพร่กระจายมัลแวร์เลยทีเดียว ซึ่งเป็นการแพร่กระจายตัวที่แตกต่างจากมัลแวร์บน Android ตัวอื่น ๆ ที่มักจะเน้นการใช้งานช่องโหว่ความปลอดภัย และการหลอกให้เหยื่อทำการติดตั้งมัลแวร์ลงเครื่อง

ในส่วนของข้อมูลเชิงเทคนิคในด้านการทำงานของมัลแวร์ตัวนี้นั้น ทางทีมวิจัยจาก Human Security บริษัทผู้เชี่ยวชาญด้านการพัฒนาโซลูชันเพื่อรักษาความปลอดภัยไซเบอร์ ได้มีการเปิดเผยถึงความเหนือชั้นของมัลแวร์ตัวนี้ว่า ได้มีการนำเอาเทคโนโลยีการเรียนรู้ของเครื่องจักร (Machine Learning หรือ ML) ในรูปแบบอัลกอริทึมเข้ามาใช้งานบนมัลแวร์ โดยตัวระบบนี้จะทำการเรียนรู้ถึงพฤติกรรมการใช้งานเครื่องของเหยื่อ และการมีอยู่ของแอปพลิเคชันรักษาความปลอดภัยบนระบบ ซึ่งตัวมัลแวร์จะฝังตัวและนิ่งเงียบ (Dormant) ในช่วงระยะเวลาหนึ่งเพื่อทำการเก็บข้อมูลต่าง ๆ บนเครื่อง โดยพฤติกรรมดังกล่าวนั้นทำให้เครื่องมือตรวจจับต่าง ๆ ตรวจจับได้ยาก เนื่องจากไม่ได้แสดงพฤติกรรมที่เป็นภัยออกมาอย่างตรง ๆ

นอกจากนั้น ยังมีการตรวจพบอีกว่า ตัวมัลแวร์นั้นมีการสื่อสารกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ผ่านทางช่องทางแบบเข้ารหัส โดยตัวเซิร์ฟเวอร์นั้นมีการตั้งอยู่ในหลากหลายประเทศ ทำให้การบังคับใช้กฎหมายเพื่อเข้าทำการกวาดล้างนั้นทำได้อย่างยากลำบาก เนื่องด้วยข้อจำกัดทางกฎหมาย ไม่เพียงเท่านั้น ทางทีมวิจัยยังตรวจพบอัลกอริทึมสำหรับการเล็งเป้าหมายในการโจมตีของมัลแวร์ตัวนี้ ยังมีการมุ่งเน้นการโจมตีไปยังองค์กรใหญ่ ๆ รวมไปถึงกลุ่มบุคคลสำคัญ (High-Profile Individuals) อีกด้วย แสดงให้เห็นว่าแคมเปญการแพร่กระจายของมัลแวร์ตัวนี้นั้นเกิดขึ้นจากความร่วมมือกันระหว่างกลุ่มอาชญากรไซเบอร์ที่มีความเชี่ยวชาญ และประสบการณ์สูง

ไม่เพียงเท่านั้น ทางทีมวิจัยยังพบว่าตัวมัลแวร์ยังมีความสามารถในการคงทนอยู่บนระบบ (Persistence) ถึงแม้ตัวผู้ใช้งานจะใช้การทำการล้างข้อมูลเพื่อกลับไปสู่ค่าเริ่มต้นจากโรงงาน หรือ Factory Reset หรือการทำอัปเดตใหญ่ โดยมัลแวร์จะมีการใช้ช่องโหว่ใน Bootloader เพื่อรับการรับรองยืนยันจากตัวระบบให้สามารถทำงานได้ (Verification) หลังจากที่ได้รับการรับรองแล้ว ตัวมัลแวร์จะทำการติดตั้งตัวเป็นแอปพลิเคชันในระดับระบบ (System-level) โดยปลอมตัวเป็นเฟรมเวิร์กของ Android รวมไปถึงการเข้าไปเปลี่ยนแปลงในส่วน System Partition ทั้งยังมีการยิงโค้ดเพื่อแฝงตัวเองเข้าไปในตัว Service ต่าง ๆ ของระบบ Android อีกด้วย นอกจากนั้นตัวมัลแวร์ยังได้มีการทำสำเนาตัวเองไปยังโฟลเดอร์ระดับ System จำนวนมาก เรียกได้ว่ามีการแอบแฝงตัวแบบหลายชั้นมาก ทำให้ถึงแม้จะมีการถูกตรวจจับตัวติดตั้งและถูกลบไป ตัวติดตั้งที่ถูกสำรองไว้จำนวนมากก็ยังคงอยู่ และสามารถติดตั้งตัวเองต่อได้เรื่อย ๆ

ภาพจาก: https://cybersecuritynews.com/badbox-2-0-infected-over-1-million-android-devices/

สำหรับในส่วนของความเสียหายที่มัลแวร์ตัวนี้ได้ก่อขึ้นนั้น ทางทีมวิจัยได้เปิดเผยว่า มัลแวร์ Badbox 2.0 นั้นได้มีการแพร่กระจายอยู่มากถึง 47 ประเทศทั่วโลก โดยเหยื่อส่วนมากอยู่ในเขตพื้นที่ เอเชียตะวันออกเฉียงใต้, ยุโรปตะวันตก, และ บางส่วนของทวีปอเมริกาใต้ เรียกได้ว่ามีเครื่องที่ติดมัลแวร์ตัวนี้นับล้านเครื่อง โดยมัลแวร์ตัวนี้จะเล็งขโมยข้อมูลสำคัญหลากประเภท ไม่ว่าจะเป็น กระเป๋าเงินคริปโตเคอร์เรนซี, ข้อมูลบนแอปพลิเคชันด้านการเงิน เช่น แอปพลิเคชันธนาคาร, ข้อมูลบนแอปพลิเคชันส่งข้อความสำหรับองค์กรธุรกิจต่าง ๆ ไปจนถึงข้อมูลอ่อนไหวเชิงธุรกิจที่ถูกเก็บไว้บนโทรศัพท์มือถือ อีกด้วย โดยทางทีมวิจัยเผยว่าปริมาณข้อมูลของมัลแวร์ตัวนี้ที่ส่งกลับไปยังเซิร์ฟเวอร์ มีปริมาณมากถึง 2.3 GB ต่อเดือน นำมาซึ่งความสูญเสียทางการเงินและทางธุรกิจ ไม่ว่าจะเป็นการสูญเสียการเข้าถึงการใช้งานรหัสเข้าใช้บัญชีธนาคาร, ข้อมูลการสื่อสาร และข้อมูลสำคัญ รวมไปถึงทรัพย์สินทางปัญญาต่าง ๆ ตีเป็นมูลค่าความเสียหายที่สูงถึง 180 ล้านดอลลาร์สหรัฐ (5,839,200,000 บาท)

ทางทีมวิจัยได้เตือนว่า องค์กรต่าง ๆ สามารถป้องกันหรือลดความเสียหายได้ด้วยการหาเครื่องมือรักษาความปลอดภัยไซเบอร์มาใช้งาน เนื่องจากเครื่องมือเหล่านี้ ถึงแม้อาจจะไม่สามารถจัดการมัลแวร์ได้อย่างหมดจด แต่ก็มีความสามารถในการระงับกิจกรรมที่ผิดปกติบนเครือข่าย นำไปสู่การจำกัดความเสียหายที่อาจเกิดขึ้นได้

➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv