การหลอกติดตั้งมัลแวร์นั้นแฮกเกอร์มักจะใช้การหลอกลวงด้วยวิธีการที่เรียกว่าการหลอกให้ติดตั้งแอปพลิเคชันปลอมลงบนเครื่องของเหยื่อ ซึ่งในคราวนี้ก็เช่นกัน แต่ในคราวนี้กลับเป็นการเล่นในเหยื่อในทางอ้อมแบบข้ามจาก PC ไปยังระบบ Android ในรูปแบบที่น่าเหลือเชื่อ
จากรายงานโดยเว็บไซต์ GB Hackers ได้กล่าวถึงการที่ทางทีมวิจัยจาก Genians Security Center (GSC) ได้รายงานถึงการตรวจพบแคมเปญใหม่ของกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลเกาหลีเหนืออย่าง KONNI APT ได้ออกมาหลอกแพร่กระจายมัลแวร์ที่มีความสามารถในการใช้งานฟีเจอร์ที่ควรเป็นประโยชน์อย่าง Find Hub ซึ่งเป็นเครื่องมือสำหรับใช้ในการค้นหาเวลาที่โทรศัพท์มือถือ Android หายไป และสามารถใช้จัดการเพื่อรักษาความปลอดภัย หรือความลับบนเครื่องได้ มาใช้ในการสั่งลบข้อมูลบนเครื่องเสียเอง
ภาพจาก : https://gbhackers.com/android-users/
ซึ่งจากรายงานนั้น แคมเปญการโจมตีด้วยมัลแวร์ครั้งนี้จะมุ่งเน้นไปยังกลุ่มคนเกาหลีเหนือที่แปรพักตร์ (North Korea Defectors) ไปอยู่ฝ่ายเกาหลีใต้ ซึ่งการหลอกลวงนั้นจะทำด้วยวิธีการหลอกลวงแบบเฉพาะเจาะจง หรือ Spear Phishing ด้วยการแอบอ้างว่าเป็นหน่วยงานที่ดูแลปัญหาด้านสุขภาพจิตให้กับเหล่าชาวเกาหลีเหนือแปรพักตร์ และ กลุ่มนักสิทธิมนุษยชน เพื่อสร้างความเชื่อถือไว้ใจให้กับกลุ่มเป้าหมาย เพื่อที่จะให้เหยื่อทำการติดตั้งแอปพลิเคชันแชทยอดนิยมในประเทศเกาหลีใต้ อย่าง KaKaoTalk เวอร์ชัน PC ซึ่งหลังจากที่เหยื่อไว้ใจ แฮกเกอร์ก็จะทำการส่งไฟล์มัลแวร์ ที่หลอกว่าเป็นซอฟต์แวร์สร้างความผ่อนคลาย ที่มีชื่อไฟล์ว่า “Stress Clear.zip” โดยภายในไฟล์จากมีไฟล์ติดตั้งนามสกุล .MSI ในชื่อ ‘Stress Clear.msi’ ซึ่งไฟล์ดังกล่าวจะสามารถรันได้บนระบบปฏิบัติการ Windows เท่านั้น
ภาพจาก : https://gbhackers.com/android-users/
โดยหลังจากติดตั้งมัลแวร์เสร็จเรียบร้อยแล้ว แฮกเกอร์ก็จะใช้งานมัลแวร์ดังกล่าวในการขโมยรหัสผ่านสำคัญ เช่น รหัสผ่านบัญชี Naver และ Google โดยเฉพาะอย่างหลังที่จะช่วยให้แฮกเกอร์สามารถเข้าใช้งาน Security Dashboard บนบัญชี Google เพื่อที่จะทำการสั่งการโทรศัพท์มือถือของเหยื่อผ่านทางแอปพลิเคชัน Find Hub ที่เชื่อมโยงกับบัญชีดังกล่าวอยู่ แล้วทำการสั่งลบเครื่องไปยังค่าโรงงาน หรือ Factory Reset โดยมีจุดประสงค์เพื่อตัดขาดเหยื่อจากการติดต่อและการแจ้งเตือนต่าง ๆ นอกจากนั้นแฮกเกอร์ยังสามารถใช้งานบัญชีที่ถูกขโมยมาได้ในการแพร่กระจายมัลแวร์ต่ออีกด้วย
ถ้าเพียงแค่นั้นยังร้ายกาจไม่พอ ตัวมัลแวร์ยังมีความสามารถในการดาวน์โหลดโมดูลของมัลแวร์สำหรับการเข้าควบคุมเครื่องของเหยื่อ หรือ RAT (Remote Access Trojan) หลากชนิด ไม่ว่าจะเป็น RemcosRAT, QuasarRAT, และ RftRAT ลงมาติดตั้งเพื่อใช้ความสามารถในการดักจับการพิมพ์ (Keylogging) และการขโมยข้อมูลอื่น ๆ ในขณะที่หลบเลี่ยงการถูกตรวจจับจากเครื่องมือป้องกันไปได้ในเวลาเดียวกัน
ข่าวสารด้านความปลอดภัย และ โปรแกรม Antivirus เพิ่มเติม
