Kaspersky เผยตัวเลข Telegram Attack โดยใช้ WhatsApp mod ตัวใหม่ มากกว่า 340,000 รายการในหนึ่งเดือน

Telegram Attack เมื่อม๊อดทำพิษ Kaspersky เตือนการโจมตีผ่าน WhatsApp mod ตัวใหม่ มากกว่า 340,000 รายการในหนึ่งเดือน
Share

 

แม้ว่าจะขึ้นชื่อเรื่องความปลอดภัย แต่ในเมื่อมีการพัฒนาฟีเจอร์ใหม่ๆ ออกมา ความเป็นไปได้ที่จะเกิดช่องโหว่ด้านความปลอดภัยขึ้นก็สามารถเกิดขึ้นได้

 

ล่าสุด นักวิจัยของKaspersky ค้นพบม็อด (mod) หรือตัวดัดแปลงโปรแกรม WhatsApp ที่ทำหน้าที่เป็นสายลับสอดแนมอันตรายตัวใหม่ ซึ่งขณะนี้กำลังแพร่ระบาดในโปรแกรมส่งข้อความยอดนิยมอีกตัวหนึ่งคือ Telegram แม้ว่าการปรับเปลี่ยนโปรแกรมวิธีนี้จะตอบสนองโจทย์ที่จะต้องการขยายขอบเขตการใช้งานและประสบการณ์ของผู้ใช้โปรแกรม แต่วิธีนี้ก็ได้เก็บรวบรวมข้อมูลส่วนบุคคลจากผู้ที่ตกเป็นเหยื่ออย่างลับๆ อีกด้วย มัลแวร์นี้มุ่งเป้าไปที่ผู้ใช้ที่สื่อสารด้วยภาษาอาหรับและอาเซอร์รีเป็นส่วนใหญ่ แต่ก็พบเหยื่ออื่นๆ มากมายกระจายทั่วโลก โดยนักวิจัยพบตัวเลขมากกว่า 340,000 รายการในเวลาเพียงหนึ่งเดือน

ผู้ใช้แอปส่งข้อความยอดนิยมมักจะหันไปหาม็อดหรือโปรแกรมตัวปรับแต่งของเธิร์ดปาร์ตี้ มากกว่าดาวน์โหลดจากผู้ให้บริการอย่างเป็นทางการ เนื่องด้วยต้องการเพิ่มคุณสมบัติพิเศษอื่นๆ อย่างไรก็ตาม ม็อดเหล่านี้แม้จะปรับปรุงการใช้งานได้จริง แต่บางส่วนก็มาพร้อมกับมัลแวร์ที่ซ่อนอยู่ด้วย แคสเปอร์สกี้ระบุว่าตัวดัดแปลง WhatsApp ใหม่ ซึ่งมีฟังก์ชั่นเพิ่มเติม เช่น ข้อความที่กำหนดเวลาส่งได้ และตัวเลือกที่ปรับแต่งได้ตามผู้ใช้งานต้องการ แต่ยังมีโมดูลสปายแวร์ที่เป็นอันตรายอีกด้วย

 

Telegram Attack จากช่องโหว่ของการใช้ WhatsApp Mod

ไฟล์ของไคลเอนต์ WhatsApp ที่ถูกแก้ไขมีส่วนประกอบที่น่าสงสัย (การบริการและตัว broadcast receiver) ที่ไม่มีอยู่ในเวอร์ชันดั้งเดิม ผู้รับจะเริ่มต้นบริการโดยเปิดตัวโมดูลสอดแนมเมื่อโทรศัพท์เปิดอยู่หรือกำลังชาร์จ เมื่อเปิดใช้งานแล้ว อุปกรณ์ฝังที่เป็นอันตรายจะส่งคำขอพร้อมข้อมูลอุปกรณ์ไปยังเซิร์ฟเวอร์ของผู้โจมตี ข้อมูลนี้ครอบคลุมถึง IMEI หมายเลขโทรศัพท์ รหัสประเทศ รหัสเครือข่าย และอื่นๆ นอกจากนี้ ยังส่งรายชื่อผู้ติดต่อและรายละเอียดบัญชีของเหยื่อทุกๆ ห้านาที รวมถึงสามารถตั้งค่าการบันทึกไมโครโฟนและกรองไฟล์จากที่จัดเก็บข้อมูลภายนอกอีกด้วย

ตัวดัดแปลงเวอร์ชันที่เป็นอันตรายพุ่งเป้าไปที่แชนแนล Telegram แอปยอดนิยม โดยมีเป้าหมายหลักเป็นผู้ใช้ที่พูดภาษาอาหรับและอาเซอร์รี โดยบางแชนแนลมีสมาชิกเกือบสองล้านคน นักวิจัยของแคสเปอร์สกี้ได้แจ้งเตือน Telegram เกี่ยวกับปัญหาที่พบนี้ การตรวจวัดเทเลมิทรีของแคสเปอร์สกี้ระบุการโจมตีมากกว่า 340,000 รายการที่เกี่ยวข้องกับม็อดนี้ในเดือนตุลาคม 2023 โดยภัยคุกคามนี้เพิ่งเกิดขึ้นช่วงกลางเดือนสิงหาคม

ตัวอย่างแชนแนล Telegram ที่แพร่กระจายม็อดอันตราย

นักวิจัยพบว่า ประเทศอาเซอร์ไบจาน ซาอุดีอาระเบีย เยเมน ตุรกี และอียิปต์ มีอัตราการโจมตีสูงสุด แม้ว่าความนิยมจะมุ่งไปที่ผู้ใช้ที่พูดภาษาอาหรับและอาเซอร์ไบจาน แต่ก็ยังส่งผลกระทบต่อผู้ใช้ในสหรัฐอเมริกา รัสเซีย สหราชอาณาจักร เยอรมนี และประเทศอื่นๆ อีกด้วย

ผลิตภัณฑ์ของแคสเปอร์สกี้สามารถตรวจจับโทรจันด้วยชื่อนี้ Trojan-Spy.AndroidOS.CanesSpy

นายดิมิทรี คาลินิน ผู้เชี่ยวชาญด้านความปลอดภัย แคสเปอร์สกี้ กล่าวว่า “โดยธรรมชาติแล้ว ผู้คนจะเชื่อถือแอปจากแหล่งที่มียอดการติดตามสูง แต่มิจฉาชีพก็ใช้ประโยชน์จากความไว้วางใจนี้ การแพร่กระจายของม็อดที่เป็นอันตรายผ่านแพลตฟอร์มเธิร์ดปาร์ตี้ยอดนิยมได้เน้นย้ำถึงความสำคัญของการใช้ไคลเอนต์แอปส่งข้อความที่เป็นทางการ อย่างไรก็ตาม หากผู้ใช้ต้องการฟีเจอร์พิเศษบางอย่างที่ไม่มีอยู่ในไคลเอนต์ดั้งเดิม ควรพิจารณาใช้โซลูชันเพื่อความปลอดภัยที่มีชื่อเสียงก่อนที่จะติดตั้งซอฟต์แวร์เธิร์ดปาร์ตี้ เพราะจะช่วยปกป้องข้อมูลจากการถูกรุกล้ำ ทั้งนี้เราขอแนะนำให้ผู้ใช้ดาวน์โหลดแอปจาก App Store หรือเว็บไซต์ที่เป็นทางการ เพื่อการปกป้องข้อมูลส่วนบุคคลที่มีประสิทธิภาพ”

ผู้เชี่ยวชาญของแคสเปอร์สกี้ขอแนะนำขั้นตอนเพื่อความปลอดภัย ดังนี้

  • เลือกใช้ร้านค้าที่เป็นทางการ: ดาวน์โหลดแอปและซอฟต์แวร์จากแหล่งที่เชื่อถือได้และเป็นทางการ หลีกเลี่ยงร้านค้าแอปเธิร์ดปาร์ตี้ เนื่องจากมีความเสี่ยงสูงที่อาจโฮสต์แอปที่เป็นอันตรายหรือถูกรุกล้ำ
  • ใช้ซอฟต์แวร์รักษาความปลอดภัยที่มีชื่อเสียง: ติดตั้งและบำรุงรักษาซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ที่มีชื่อเสียงบนอุปกรณ์ สแกนอุปกรณ์เป็นประจำเพื่อหาภัยคุกคามที่อาจเกิดขึ้น และอัปเดตซอฟต์แวร์ความปลอดภัยให้ทันสมัยอยู่เสมอ โซลูชัน Kaspersky Premium สามารถปกป้องผู้ใช้จากภัยคุกคามได้
  • หาความรู้เรื่องการหลอกลวงทั่วๆ ไป: ติดตามข่าวสารเกี่ยวกับภัยคุกคาม เทคนิค และยุทธวิธีล่าสุดทางไซเบอร์ ระมัดระวังคำขอที่ไม่พึงประสงค์ ข้อเสนอที่น่าสงสัย การขอข้อมูลส่วนบุคคลหรือข้อมูลทางการเงินอย่างเร่งด่วน
  • เลี่ยงซอฟต์แวร์ของบริษัทอื่น / เธิร์ดปาร์ตี้ / แหล่งดาวน์โหลดยอดนิยมอื่นๆ: เพราะมักจะไม่มีการรับประกัน แอปดังกล่าวอาจมีการฝังมัลแวร์ที่เป็นอันตราย เช่น การโจมตีซัพพลายเชน

 

หมายเหตุ : Telegram คืออะไร

Telegram เป็นแอปพลิเคชันส่งข้อความที่ก่อตั้งโดยสองพี่น้องชาวรัสเซีย ชื่อ Pavel Durov และ Nikolai Durov ในปี 2013 ซึ่งก่อนหน้านี้ได้ให้กำเนิด “VK” เครือข่ายสังคมออนไลน์สัญชาติรัสเซียมาแล้ว

ด้านโมเดลธุรกิจ Telegram เป็นแอปพลิเคชันที่สามารถใช้งานได้ฟรี 100 เปอร์เซ็นต์โดยไม่มีทางเลือกให้ต้องจ่ายค่าบริการใดๆ ทั้งสิ้น โดยมี Pavel เป็นผู้สนับสนุนเงินทุนจำนวนมหาศาล Telegram ให้ข้อมูลว่าเงินจำนวนนี้ยังเพียงพอ แต่หากประสบปัญหาในอนาคตก็อาจเพิ่มทางเลือกแบบเสียเงินเข้ามา อย่างไรก็ตาม Telegram จะไม่พุ่งเป้าที่การแสวงผลกำไร

เมื่อเดือนเมษายน 2563 Telegram มีผู้ใช้ต่อเดือนอยู่ที่ 400 ล้านคน มีผู้ใช้ใหม่อย่างต่ำ 1.5 ล้านคนต่อวัน และมีสติ๊กเกอร์ให้ใช้งานกว่า 2 แสนชุด

ในด้านความปลอดภัยในการสนทนาทั่วไป (ส่วนตัวและแบบกลุ่ม) Telegram ใช้รูปแบบการส่งและเข้ารหัสข้อมูลแบบฉบับของตัวเองในชื่อ MTProto (รุ่น 2.0 ณ วันที่เขียนบทความ) ซึ่งมีการเข้ารหัสระหว่างเซิร์ฟเวอร์และเครื่องผู้ใช้ ก่อนที่จะมีการรับ-ส่งข้อมูลหากัน ด้วยกุญแจเข้ารหัสหลายระดับ โดยตัวข้อความจะได้รับการเข้ารหัสแบบ SHA-256 ก่อนเป็นขั้นแรก และมีการประกอบกับอีกหลายกุญแจทั้งแบบ 64, 128 และ 256 บิตในขั้นถัดๆ ไป สุดท้ายแล้วจะใช้การเข้ารหัสแบบ AES-256 ก่อนส่งข้อมูลออกไป

กุญแจ 2048 บิตที่เครื่องผู้ใช้ใช้ในการคุยกับเซิร์ฟเวอร์นั้นจะถูกสร้างขึ้นตั้งแต่เชื่อมต่ออุปกรณ์ใหม่เข้ามาเป็นครั้งแรก โดยจะไม่มีการส่งกุญแจนี้ข้ามผ่านเครือข่ายแต่อย่างใด

นอกจากการเข้ารหัสแล้วก็ยังมีตัวแปรด้านเวลามาเกี่ยวข้องด้วย เช่น เวลาของเครื่องผู้ใช้ต่างกับเวลาเซิร์ฟเวอร์มากเกินไป เซิร์ฟเวอร์ก็จะไม่สนใจข้อความดังกล่าว และมีการใช้ salt (ชุดข้อมูลสำหรับการยืนยันและเข้ารหัสข้อมูล) ที่เปลี่ยนแปลงทุก 24 ชั่วโมง

สำหรับการสนทนาที่เป็นโหมด Secret Chats และการโทรนั้นจะเสริมความปลอดภัยขึ้นมาอีกชั้น ใช้การเข้ารหัสแบบปลายทาง (end-to-end encryption) ซึ่งจะเป็นการเข้ารหัสตั้งแต่ผู้ส่ง แล้วไปแกะเอาที่ผู้รับ ด้วยกุญแจที่สร้างขึ้นในการสนทนาแต่ละครั้งสำหรับแต่ละเครื่อง โดยไม่มีการแกะข้อความเมื่อผ่านตัวกลาง (เซิร์ฟเวอร์) และใช้การเข้ารหัสแบบ AES-256 เช่นเดียวกัน

innomatter

innomatter

ข่าวไอที นวัตกรรม พลังงาน และความยั่งยืน

Related Articles