การรับไวรัสในโทรศัพท์ของคุณเคยเป็นอะไรมากไปกว่าความคิดใหม่ อย่างไรก็ตาม ทุกวันนี้ ไวรัสทางโทรศัพท์เป็นภัยคุกคามอย่างแท้จริง เนื่องจากผู้คนจำนวนมากขึ้นเรื่อยๆ ซื้อและใช้สมาร์ทโฟนในชีวิตประจำวัน พวกเขาจึงกลายเป็นเป้าหมายที่ดึงดูดใจให้แฮ็กเกอร์ละเมิดและสร้างมัลแวร์ให้มากขึ้น มัลแวร์สายพันธุ์ใหม่ถูกสร้างขึ้นอย่างต่อเนื่อง แต่ไวรัสสายพันธุ์หนึ่งได้ก่อให้เกิดคลื่นขนาดใหญ่ในโลกของการรักษาความปลอดภัยทางไซเบอร์
การใช้ชื่อ "GhostCtrl" ภัยคุกคามใหม่นี้เป็นการทำซ้ำครั้งที่สามของไวรัสปัจจุบัน อย่างไรก็ตาม เวอร์ชันใหม่นี้บน GhostCtrl ต่างจากอีก 2 เวอร์ชัน โดยมีฟีเจอร์ที่น่าสะพรึงกลัวมากมาย
การแพร่กระจายของ GhostCtrl
GhostCtrl เข้าสู่อุปกรณ์ของเหยื่อเมื่อพวกเขาไปติดตั้งไฟล์ APK ที่ติดไวรัส ซึ่งมักจะปลอมแปลงเป็นแอปยอดนิยม เช่น WhatsApp หรือ Pokémon Go เมื่อผู้ใช้เลือกติดตั้ง APK จะแสดงข้อความแจ้งการติดตั้งตามปกติ อย่างไรก็ตาม หากผู้ใช้พยายามปฏิเสธการติดตั้ง ข้อความแจ้งจะปรากฏขึ้นอีกครั้ง
หากผู้ใช้หงุดหงิดและยอมรับการติดตั้ง ไวรัสจะฝังตัวอยู่ในระบบโดยใช้แบ็คดอร์ จากนั้นจะเปิดช่องทางการสื่อสารไปยัง “เซิร์ฟเวอร์ C&C” ของแฮ็กเกอร์ C&C ย่อมาจาก “command and control” และใช้ในการทำงานของบ็อตเน็ตเพื่อส่งคำสั่งไปยังอุปกรณ์ที่ติดไวรัส เมื่อโทรศัพท์มี GhostCtrl อยู่แล้ว ก็จะต้องได้รับคำสั่งจากผู้เผยแพร่มัลแวร์ผ่านเซิร์ฟเวอร์ C&C นี้
GhostCtrl ทำหน้าที่อะไร
ส่วนที่น่ากลัวที่สุดของ GhostCtrl ไม่ใช่วิธีที่มันแพร่กระจาย แต่คือสิ่งที่มันทำ TrendLabs มีรายการ "รหัสการดำเนินการ" ทั้งหมดที่แฮกเกอร์สามารถส่งไปยัง GhostCtrl ผ่านเซิร์ฟเวอร์ C&C และสิ่งที่แต่ละรหัสทำ เพื่อความกระชับ นี่คือตัวอย่างบางส่วนของการดำเนินการที่รุนแรงกว่าซึ่งเชื่อมโยงกับโค้ดการดำเนินการ:
- ตรวจสอบข้อมูลเซ็นเซอร์โทรศัพท์แบบเรียลไทม์
- แสดงรายการข้อมูลไฟล์ในไดเร็กทอรีปัจจุบันและอัปโหลดไปยังเซิร์ฟเวอร์ C&C
- ลบไฟล์ในไดเร็กทอรีที่ระบุ
- ส่ง SMS/MMS ไปยังหมายเลขที่ระบุโดยผู้โจมตี เนื้อหายังสามารถปรับแต่งได้
- โทรไปยังหมายเลขโทรศัพท์ที่ผู้โจมตีระบุ
สิ่งนี้เลวร้ายด้วยตัวมันเอง แต่ GhostCtrl สามารถทำได้มากกว่า TrendLabs อธิบายต่อไปว่า GhostCtrl ยังสามารถขโมยข้อมูลที่เก็บไว้ในโทรศัพท์ได้ ข้อมูลที่ถูกขโมยอาจรวมถึงข้อมูลเวอร์ชัน Android ประวัติเบราว์เซอร์ และข้อมูลกล้อง ไม่เพียงเท่านั้น แต่ยังสามารถตรวจสอบและอัปโหลดบันทึก SMS และบันทึกการโทรของคุณได้อีกด้วย
หากแฮ็กเกอร์ตัดสินใจ GhostCtrl ก็มีความสามารถในการโจมตีแบบแรนซัมแวร์ ด้วยความสามารถของมัน มันสามารถเปลี่ยนรหัสผ่านและ PIN ทั้งหมดบนอุปกรณ์เพื่อจับเป็นตัวประกัน จากนั้นขอให้ผู้ใช้ชำระเงินเพื่อปลดล็อกอุปกรณ์อีกครั้ง สิ่งนี้นำไปสู่การคาดเดาว่าเป้าหมายของ GhostCtrl คือการเข้าถึงโทรศัพท์ที่มีข้อมูลสำคัญและละเอียดอ่อนที่สามารถขายได้ เช่น โทรศัพท์ที่เป็นขององค์กรด้านการดูแลสุขภาพ หากล้มเหลว แผน B คือการรวบรวมเงินผ่านฟีเจอร์แรนซัมแวร์แทน
ฉันจะหยุดสิ่งนี้ได้อย่างไร
ด้วยแพ็คเกจคุณสมบัติที่น่ารังเกียจเช่นนี้ GhostCtrl สามารถทำให้ผู้ใช้ตกใจ (ถูกต้อง!) จากโทรศัพท์ของพวกเขา อย่างไรก็ตาม ข้อควรระวังง่ายๆ สองสามข้อสามารถช่วยหยุดตัวเองจากการตกเป็นเหยื่อของการโจมตีระลอกใหม่ที่ซับซ้อนนี้ได้
หากคุณจำได้ GhostCtrl สามารถทำงานบนระบบได้โดยการรวมไฟล์ APK ที่ติดไวรัส ด้วยเหตุนี้ ผู้ใช้จึงเสี่ยงที่จะดาวน์โหลดไฟล์ APK จากแหล่งที่ไม่ดี ตัวอย่างเช่น ผู้ใช้อาจถูกนำไปยังไซต์ APK ของบุคคลที่สามหากพบว่าแอปที่ต้องการนั้นอยู่หลังการจำกัดประเทศหรืออุปกรณ์ สิ่งที่ต้องทำคือให้ผู้ใช้เข้าชมและดาวน์โหลดไฟล์ APK ที่ติดไวรัสจากไซต์ที่เป็นอันตราย และติดไวรัสในอุปกรณ์ของตน อยู่ห่างจากไซต์ APK และอย่าดาวน์โหลดแอปที่น่าสงสัย แม้ว่าจะเผยแพร่ผ่าน Google Play Store
การติดตั้งโปรแกรมป้องกันไวรัสที่เป็นของแข็งจะช่วยหยุดไวรัสไม่ให้ติดระบบ อย่างไรก็ตาม หากสิ่งนี้ล้มเหลว มีแผน B; เนื่องจาก GhostCtrl จำเป็นต้องพูดคุยกับเซิร์ฟเวอร์ C&C เพื่อรับคำสั่ง อีกวิธีหนึ่งที่แนะนำคือหยุดไม่ให้มันพูดตั้งแต่แรก โซลูชันไฟร์วอลล์มือถือที่ดีควรสามารถตรวจจับความพยายามที่จะ "โทรศัพท์กลับบ้าน" และเตือนคุณเกี่ยวกับเรื่องนี้ ซึ่งทำให้คุณสามารถบล็อกมัลแวร์จากการรับคำสั่งซื้อได้ แม้ว่าจะไม่หยุดโทรศัพท์จากการติดไวรัส แต่ก็ควรป้องกันความเสียหายไม่ให้เกิดขึ้น วิธีนี้จะทำให้คุณมีเวลาในการแก้ไขปัญหาโดยที่ข้อมูลของคุณไม่ถูกขโมย
โกสต์บัสเตอร์
GhostCtrl เป็นตัวอย่างที่น่ารังเกียจอย่างยิ่งที่แสดงให้เห็นว่ามัลแวร์ขั้นสูงสามารถครอบงำความสามารถของโทรศัพท์ได้อย่างสมบูรณ์ ด้วยความระมัดระวังในสิ่งที่คุณดาวน์โหลดและติดตั้งแอปพลิเคชันไฟร์วอลล์ที่เหมาะสม คุณสามารถหยุดตัวเองจากการตกเป็นเหยื่อของการโจมตีนี้ได้
คุณดาวน์โหลดไฟล์ APK จากเว็บไซต์หรือไม่? ข่าวนี้ทำให้คุณระมัดระวังในการทำเช่นนั้นมากขึ้นหรือไม่? แจ้งให้เราทราบด้านล่าง
