แคสเปอร์สกี้เผย PhantomLance แคมเปญโจมตีแอนดรอย์ดีไวซ์หลายประเทศในอาเซียน

ศุกร์ ๐๘ พฤษภาคม ๒๐๒๐ ๐๙:๒๔
นักวิจัยของแคสเปอร์สกี้ตรวจพบ “แฟนท่อมแลนซ์” (PhantomLance) แคมเปญร้ายมีความซับซ้อนที่จ้องโจมตีผู้ใช้งานดีไวซ์ระบบแอนดรอยด์ซึ่งเชื่อมโยงกับผู้ก่อการร้ายไซเบอร์กลุ่มโอเชียนโลตัส (OceanLotus) แคมเปญนี้เริ่มต้นปฏิบัติการตั้งแต่ปี 2015 เป็นอย่างน้อย และปัจจุบันยังดำเนินการอยู่ ใช้สปายแวร์ซับซ้อนหลากหลายเวอร์ชั่นที่ทำหน้าที่เก็บข้อมูลของเหยื่อ และมีกลวิธีแพร่กระจายอย่างชาญฉลาดหลายวิธี เช่น ผ่านแอปพลิเคชั่นจำนวนมากใน Google Play
แคสเปอร์สกี้เผย PhantomLance แคมเปญโจมตีแอนดรอย์ดีไวซ์หลายประเทศในอาเซียน

ในเดือนกรกฏาคม ปี 2019 ผู้เชี่ยวชาญด้านความปลอดภัยแห่งหนึ่งได้ออกรายงานเรื่องสปายแวร์ตัวใหม่ที่พบใน Google Play แคสเปอร์สกี้สนใจรายงานนี้อย่างมากด้วยสปายแวร์มีฟีเจอร์ที่คาดไม่ถึง คือมีระดับความซับซ้อนและพฤติกรรมที่แตกต่างจากโทรจันทั่วไปในแอปสโตร์ นักวิจัยของแคสเปอร์สกี้ยังได้ค้นพบมัลแวร์อีกตัวหนึ่งที่คล้ายคลึงกันใน Google Play อีกด้วย โดยปกติแล้วผู้ออกแบบมัลแวร์จะอัพโหลดแอปร้ายไว้ในแอปสโตร์ แล้วลงทุนโปรโมทแอปพลิเคชั่นเพื่อเพิ่มยอดดาวน์โหลด ซึ่งก็คือการเพิ่มยอดเหยื่อนั่นเอง แต่ในกรณีนี้กลับต่างออกไป ผู้ก่อภัยคุกคามกลับไม่สนใจที่จะแพร่กระจายการติดเชื้อนี้ในวงกว้าง ทำให้นักวิจัยคาดว่าจะเป็นการโจมตีแบบเจาะจงเป้าหมาย การวิจัยเพิ่มเติมทำให้พบมัลแวร์นี้อีกหลายเวอร์ชั่นที่มีโค้ดสอดคล้องเชื่อมโยงกัน

ฟังก์ชั่นการทำงานก็คล้ายคลึงกัน หน้าที่หลักของสปายแวร์คือการเก็บรวบรวมข้อมูล หน้าที่พื้นฐานอื่นๆ ได้แก่ การระบุตำแหน่ง การเข้าถึงข้อมูลการโทร ข้อมูลติดต่อ ข้อความ SMS และแอปพลิเคชั่นนี้ยังได้เก็บข้อมูลชื่อแอปอื่นๆ ที่ติดตั้งลงในดีไวซ์ ข้อมูลสำคัญของตัวเครื่อง เช่น โมเดลและเวอร์ชั่น OS นอกจากนี้ผู้ก่อภัยคุกคามยังสามารถดาวน์โหลด ทำเพย์โหลด และดัดแปลงเพย์โหลดให้เหมาะสมกับสภาพแวดล้อมของดีไวซ์ เช่น เวอร์ชั่นแอนดรอยด์ และแอปที่ติดตั้งในดีไวซ์แล้ว วิธีนี้ผู้ก่อเหตุจึงสามารถหลีกเลี่ยงการโอเวอร์โหลดแอปด้วยฟีเจอร์ที่ไม่จำเป็น แต่ยังสามารถเก็บข้อมูลได้ด้วย

การวิจัยเพิ่มเติมระบุว่า “แฟนท่อมแลนซ์” แพร่กระจายในแพลตฟอร์มและตลาดสินค้าที่หลากหลาย เช่น Google Play และ APKpure การทำให้แอปดูเหมือนถูกกฎหมาย ผู้ก่อภัยคุกคามจะปลอมโปรไฟล์นักพัฒนาโดยการสร้างแอ็คเคาท์ Github นอกจากนี้ตลาดสินค้าจะมีขั้นตอนการกรองแอป ผู้ก่อภัยคุกคามก็จะอัพโหลดแอปเวอร์ชั่นแรกที่ยังไม่มีเพย์โหลดร้าย แต่เมื่อทำการอัพเดทในภายหลัง ก็จะมีทั้งเพย์โหลดมุ่งร้ายและโค้ดที่ใช้สั่งการเพย์โหลด

จากข้อมูลของ Kaspersky Security Network ตั้งแต่ปี 2016 มีการสังเกตุความพยายามโจมตีมากถึง 300 ครั้งในดีไวซ์ระบบแอนดรอยด์ในประเทศอินเดีย เวียดนาม บังคลาเทศ และอินโดนีเซีย โดยเวียดนามมีจำนวนการพยายามโจมตีสูงสุดเป็นอันดับหนึ่ง และพบว่าแอปร้ายบางตัวในแคมเปญ “แฟนท่อมแลนซ์” นี้ใช้ภาษาเวียดนามโดยเฉพาะ

การใช้ทูลเพื่อหาความคล้ายคลึงของโค้ดอันตรายต่างๆ ทำให้นักวิจัยสามารถระบุได้ว่าเพย์โหลดของแฟนท่อมแลนซ์นั้นมีความคล้ายคลึงกับแคมเปญโจมดีแอนดรอยด์ของกลุ่มโอเชียนโลตัส ซึ่งเป็นผู้ก่อภัยคุกคามตั้งแต่ปี 2013 เป็นอย่างน้อย และมีเป้าหมายโจมตีเน้นภูมิภาคเอเชียตะวันออกเฉียงใต้ นอกจากนี้ ยังพบความคาบเกี่ยวสำคัญในกิจกรรมร้ายในระบบ Windows และ MacOS โดยโอเชียนโลตัสอีกด้วย นักวิจัยของแคสเปอร์สกี้จึงเชื่อว่าแฟนท่อมแลนซ์เกี่ยวโยงกับโอเชียนโลตัส

แคสเปอร์สกี้ได้รายงานการค้นพบทั้งหมดนี้แก่แอปสโตร์ต่างๆ แล้ว โดย Google Play ยืนยันแล้วว่าได้ลบแอปทั้งหมดออกเรียบร้อยแล้ว

อเล็กซี่ เฟิร์ช นักวิจัยด้านความปลอดภัย ทีมวิเคราะห์และวิจัยระดับโลกของแคสเปอร์สกี้ กล่าวว่า “แฟนท่อมแลนซ์เป็นตัวอย่างที่โดดเด่นอย่างมากที่แสดงให้เห็นความก้าวหน้าของผู้ก่อภัยคุกคามที่เคลื่อนไหวเงียบเชียบและหาตัวจับยาก แคมเปญนี้ปฏิบัติการนานกว่าห้าปี ผู้ก่อภัยคุกคามสามารถบายพาสขั้นตอนการกรองของแอปสโตร์ได้หลายครั้ง โดยใช้เทคนิคขั้นสูงเพื่อบรรลุเป้าหมาย เราได้เห็นว่าการใช้โมบายแพลตฟอร์มเป็นจุดแพร่กระจายหลักนั้นเป็นวิธีที่นิยมใช้กันมากขึ้น พัฒนาการทางร้ายของภัยคุกคามนี้ ทำให้คลังข้อมูลอัจฉริยะหรือ Threat Intelligence รวมถึงบริการสนับสนุนต่างๆ ยิ่งมีความสำคัญมากขึ้น เพื่อช่วยติดตามผู้ก่อภัยคุกคามและหาแคมเปญที่เกี่ยวโยงกัน”

อ่านรายงาน “แฟนท่อมแลนซ์” ฉบับเต็มได้ที่ https://securelist.com/apt-phantomlance/96772/

แคสเปอร์สกี้แนะนำวิธีการหลีกเลี่ยงการตกเป็นเหยื่อการโจมตีแบบเจาะจงเป้าหมายสำหรับบุคคลทั่วไปและองค์กรธุรกิจ ดังนี้

บุคคลทั่วไป:

- ใช้โซลูชั่นเพื่อความปลอดภัยที่น่าเชื่อถือ เช่น Kaspersky Security Cloud เพื่อป้องกันภัยคุกคามวงกว้าง และ Kaspersky Secure Connection เพื่อป้องกันการติดตามสอดส่องกิจกรรมออนไลน์ ใช้ซ่อนไอพีแอดเดรสและตำแหน่งที่ตั้ง และช่วยให้ส่งข้อมูลผ่านช่องทาง VPN ที่ปลอดภัย

องค์กรธุรกิจ:

โซลูชั่นเอ็นพอยต์ที่ใช้อยู่จะต้องสามารถปกป้องความปลอดภัยให้โมบายดีไวซ์ได้ สามารถควบคุมจัดการแอป ควบคุมการติดตั้งเฉพาะแอปที่ถูกกฏหมายในดีไวซ์ขององค์กรเท่านั้น รวมถึงการจัดการจากระยะไกลเพื่อบล็อกดีไวซ์และลบข้อมูลบริษัทออกจากดีไวซ์ได้ ยกตัวอย่างโซลูชั่นเช่น Kaspersky Security for Mobileศูนย์ปฏิบัติการรักษาความปลอดภัย หรือ Security Operations Center (SOC) ควรได้เข้าถึงคลังข้อมูลอัจฉริยะ (Threat Intelligence) และศึกษาข้อมูลเกี่ยวกับเครื่องมือ เทคนิค และกลยุทธ์ที่ออกใหม่ของผู้ก่อภัยคุกคามและอาชญากรไซเบอร์อย่างสม่ำเสมอการตรวจจับ การสืบสวน และการฟื้นฟูจากการโดนโจมตีอย่างทันท่วงทีในระดับเอ็นพอยต์ ควรใช้โซลูชั่นเพื่อรับมือกับภัยคุกคามโดยเฉพาะ เช่น Kaspersky Endpoint Detection and Responseการเสริมการป้องกันเอ็นพอยต์ที่สำคัญ แนะนำให้ใช้โซลูชั่นระดับองค์กรที่สามารถตรวจจับและสกัดกั้นภัยคุกคามขั้นสูงได้ที่ระดับเน็ตเวิร์กตั้งแต่เริ่มต้น เช่น Kaspersky Anti Targeted Attack Platform

แคสเปอร์สกี้เผย PhantomLance แคมเปญโจมตีแอนดรอย์ดีไวซ์หลายประเทศในอาเซียน

ข่าวประชาสัมพันธ์ล่าสุด

๒๘ มี.ค. องค์การบรรจุภัณฑ์โลก จับมือ อินฟอร์มา มาร์เก็ตส์ ประเทศไทย ร่วมจัดกิจกรรมสัมมนาออนไลน์
๒๘ มี.ค. การแข่งขันกีฬาขี่ม้าโปโลรายการ King Power International Ladies' Polo Tournament 2024
๒๘ มี.ค. DEXON ปักธงรายได้ปี 67 ทะลุ 700 ลบ. โชว์ Backlog เฉียด 280 ลบ. ล็อคมาร์จิ้น 35-40%
๒๘ มี.ค. JPARK ร่วมงาน Dinner Talk ผู้บริหารจดทะเบียนพบนักลงทุน จ.ราชบุรี
๒๘ มี.ค. นีเวีย ซัน และ วัตสัน จับมือต่อปีที่สองชวนดูแลท้องทะเล กับโครงการ เพราะแคร์ จึงชวนแชร์ ร่วมพิทักษ์รักษ์ทะเลไทย
๒๘ มี.ค. Cloud เทคโนโลยีที่อยู่ใกล้ตัว เพียงแค่คุณไม่รู้เท่านั้นเอง
๒๘ มี.ค. โรยัล คานิน ร่วมกับ เพ็ทแอนด์มี จัดงาน Royal Canin Expo 2024: PAWRENTS' DAY เพื่อสร้างโลกที่ดีขึ้นสำหรับน้องแมวและน้องหมา
๒๘ มี.ค. STEAM Creative Math Competition
๒๘ มี.ค. A-HOST ร่วมวาน MFEC Inspire ขึ้นบรรยายพร้อมจัดบูธ Cost Optimization Pavilion
๒๘ มี.ค. ฟินเวอร์! ส่องความคิ้วท์ 'ฟอส-บุ๊ค' ควงคู่ร่วมงาน Discover Thailand เสิร์ฟโมเมนต์ฉ่ำให้แฟนๆ ได้ดับร้อนกันยกด้อมรับซัมเมอร์ และร่วมส่งต่อความสุขในกิจกรรม 'Exclusive Unseen Food Trip กับ คู่ซี้