ล่าสุด นักวิจัยของแคสเปอร์สกี้ (Kaspersky) ค้นพบม็อด (mod) หรือตัวดัดแปลงโปรแกรม WhatsApp ที่ทำหน้าที่เป็นสายลับสอดแนมอันตรายตัวใหม่
ซึ่งขณะนี้กำลังแพร่ระบาดในโปรแกรมส่งข้อความยอดนิยมอีกตัวหนึ่งคือ Telegram แม้ว่าการปรับเปลี่ยนโปรแกรมวิธีนี้จะตอบสนองโจทย์ที่จะต้องการขยายขอบเขตการใช้งานและประสบการณ์ของผู้ใช้โปรแกรม แต่วิธีนี้ก็ได้เก็บรวบรวมข้อมูลส่วนบุคคลจากผู้ที่ตกเป็นเหยื่ออย่างลับๆ อีกด้วย มัลแวร์นี้มุ่งเป้าไปที่ผู้ใช้ที่สื่อสารด้วยภาษาอาหรับและอาเซอร์รีเป็นส่วนใหญ่ แต่ก็พบเหยื่ออื่นๆ มากมายกระจายทั่วโลก โดยนักวิจัยพบตัวเลขมากกว่า 340,000 รายการในเวลาเพียงหนึ่งเดือน
ผู้ใช้แอปส่งข้อความยอดนิยมมักจะหันไปหาม็อดหรือโปรแกรมตัวปรับแต่งของเธิร์ดปาร์ตี้ มากกว่าดาวน์โหลดจากผู้ให้บริการอย่างเป็นทางการ เนื่องด้วยต้องการเพิ่มคุณสมบัติพิเศษอื่นๆ อย่างไรก็ตาม ม็อดเหล่านี้แม้จะปรับปรุงการใช้งานได้จริง แต่บางส่วนก็มาพร้อมกับมัลแวร์ที่ซ่อนอยู่ด้วย แคสเปอร์สกี้ระบุว่าตัวดัดแปลง WhatsApp ใหม่ ซึ่งมีฟังก์ชั่นเพิ่มเติม เช่น ข้อความที่กำหนดเวลาส่งได้ และตัวเลือกที่ปรับแต่งได้ตามผู้ใช้งานต้องการ แต่ยังมีโมดูลสปายแวร์ที่เป็นอันตรายอีกด้วย
ไฟล์ของไคลเอนต์ WhatsApp ที่ถูกแก้ไขมีส่วนประกอบที่น่าสงสัย (การบริการและตัว broadcast receiver) ที่ไม่มีอยู่ในเวอร์ชันดั้งเดิม ผู้รับจะเริ่มต้นบริการโดยเปิดตัวโมดูลสอดแนมเมื่อโทรศัพท์เปิดอยู่หรือกำลังชาร์จ เมื่อเปิดใช้งานแล้ว อุปกรณ์ฝังที่เป็นอันตรายจะส่งคำขอพร้อมข้อมูลอุปกรณ์ไปยังเซิร์ฟเวอร์ของผู้โจมตี ข้อมูลนี้ครอบคลุมถึง IMEI หมายเลขโทรศัพท์ รหัสประเทศ รหัสเครือข่าย และอื่นๆ นอกจากนี้ ยังส่งรายชื่อผู้ติดต่อและรายละเอียดบัญชีของเหยื่อทุกๆ ห้านาที รวมถึงสามารถตั้งค่าการบันทึกไมโครโฟนและกรองไฟล์จากที่จัดเก็บข้อมูลภายนอกอีกด้วย
ตัวดัดแปลงเวอร์ชันที่เป็นอันตรายพุ่งเป้าไปที่แชนแนล Telegram แอปยอดนิยม โดยมีเป้าหมายหลักเป็นผู้ใช้ที่พูดภาษาอาหรับและอาเซอร์รี โดยบางแชนแนลมีสมาชิกเกือบสองล้านคน นักวิจัยของแคสเปอร์สกี้ได้แจ้งเตือน Telegram เกี่ยวกับปัญหาที่พบนี้ การตรวจวัดเทเลมิทรีของแคสเปอร์สกี้ระบุการโจมตีมากกว่า 340,000 รายการที่เกี่ยวข้องกับม็อดนี้ในเดือนตุลาคม 2023 โดยภัยคุกคามนี้เพิ่งเกิดขึ้นช่วงกลางเดือนสิงหาคม
ตัวอย่างแชนแนล Telegram ที่แพร่กระจายม็อดอันตราย
นักวิจัยพบว่า ประเทศอาเซอร์ไบจาน ซาอุดีอาระเบีย เยเมน ตุรกี และอียิปต์ มีอัตราการโจมตีสูงสุด แม้ว่าความนิยมจะมุ่งไปที่ผู้ใช้ที่พูดภาษาอาหรับและอาเซอร์ไบจาน แต่ก็ยังส่งผลกระทบต่อผู้ใช้ในสหรัฐอเมริกา รัสเซีย สหราชอาณาจักร เยอรมนี และประเทศอื่นๆ อีกด้วย
ผลิตภัณฑ์ของแคสเปอร์สกี้สามารถตรวจจับโทรจันด้วยชื่อนี้ Trojan-Spy.AndroidOS.CanesSpy
นายดิมิทรี คาลินิน ผู้เชี่ยวชาญด้านความปลอดภัย แคสเปอร์สกี้ กล่าวว่า “โดยธรรมชาติแล้ว ผู้คนจะเชื่อถือแอปจากแหล่งที่มียอดการติดตามสูง แต่มิจฉาชีพก็ใช้ประโยชน์จากความไว้วางใจนี้ การแพร่กระจายของม็อดที่เป็นอันตรายผ่านแพลตฟอร์มเธิร์ดปาร์ตี้ยอดนิยมได้เน้นย้ำถึงความสำคัญของการใช้ไคลเอนต์แอปส่งข้อความที่เป็นทางการ อย่างไรก็ตาม หากผู้ใช้ต้องการฟีเจอร์พิเศษบางอย่างที่ไม่มีอยู่ในไคลเอนต์ดั้งเดิม ควรพิจารณาใช้โซลูชันเพื่อความปลอดภัยที่มีชื่อเสียงก่อนที่จะติดตั้งซอฟต์แวร์เธิร์ดปาร์ตี้ เพราะจะช่วยปกป้องข้อมูลจากการถูกรุกล้ำ ทั้งนี้เราขอแนะนำให้ผู้ใช้ดาวน์โหลดแอปจาก App Store หรือเว็บไซต์ที่เป็นทางการ เพื่อการปกป้องข้อมูลส่วนบุคคลที่มีประสิทธิภาพ”
ผู้เชี่ยวชาญของแคสเปอร์สกี้ขอแนะนำขั้นตอนเพื่อความปลอดภัย ดังนี้
- เลือกใช้ร้านค้าที่เป็นทางการ: ดาวน์โหลดแอปและซอฟต์แวร์จากแหล่งที่เชื่อถือได้และเป็นทางการ หลีกเลี่ยงร้านค้าแอปเธิร์ดปาร์ตี้ เนื่องจากมีความเสี่ยงสูงที่อาจโฮสต์แอปที่เป็นอันตรายหรือถูกรุกล้ำ
- ใช้ซอฟต์แวร์รักษาความปลอดภัยที่มีชื่อเสียง: ติดตั้งและบำรุงรักษาซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ที่มีชื่อเสียงบนอุปกรณ์ สแกนอุปกรณ์เป็นประจำเพื่อหาภัยคุกคามที่อาจเกิดขึ้น และอัปเดตซอฟต์แวร์ความปลอดภัยให้ทันสมัยอยู่เสมอ โซลูชัน Kaspersky Premium สามารถปกป้องผู้ใช้จากภัยคุกคามได้
- หาความรู้เรื่องการหลอกลวงทั่วๆ ไป: ติดตามข่าวสารเกี่ยวกับภัยคุกคาม เทคนิค และยุทธวิธีล่าสุดทางไซเบอร์ ระมัดระวังคำขอที่ไม่พึงประสงค์ ข้อเสนอที่น่าสงสัย การขอข้อมูลส่วนบุคคลหรือข้อมูลทางการเงินอย่างเร่งด่วน
- เลี่ยงซอฟต์แวร์ของบริษัทอื่น / เธิร์ดปาร์ตี้ / แหล่งดาวน์โหลดยอดนิยมอื่นๆ: เพราะมักจะไม่มีการรับประกัน แอปดังกล่าวอาจมีการฝังมัลแวร์ที่เป็นอันตราย เช่น การโจมตีซัพพลายเชน
