นายโรมัน อูนูเชค นักวิเคราะห์มัลแวร์อาวุโสของแคสเปอร์สกี้ แลป เปิดเผยว่า Google Cloud Messaging หรือ GCM ซึ่งเป็นวิธีที่นักพัฒนาแอพพลิเคชั่นใช้ควบคุมจัดการแอพพลิเคชั่นของตนที่ติดตั้งบนอุปกรณ์ระบบแอนดรอยด์ต่างๆ ได้กลายเป็นช่องทางก่อภัยคุกคามของอาชญากรไซเบอร์ มีการตรวจพบโปรแกรมมุ่งร้ายหรือมัลแวร์จำนวนมากที่ใช้ GCM เป็นช่องทางสื่อสารที่สะดวกและราคาถูก เช่น “โทรจัน Trojan-SMS.AndroidOS.FakeInst.a” ที่จะสั่งการให้เครื่องส่งข้อความออก ลบข้อความเข้า สร้างลิ้งก์ไปเว็บกลโกง แสดงโฆษณาหลอกล่อให้ดาวน์โหลดมัลแวร์ และ “โทรจัน Trojan-SMS.AndroidOS.OpFake.a” ที่จะสั่งการให้เครื่องส่งข้อความออกไป ลบข้อความเข้า ขโมยข้อมูลติดต่อใน Contact และข้อความต่างๆ ในเครื่อง
Google Cloud Messaging หรือ GCM เป็นวิธีที่นักพัฒนาแอพพลิเคชั่นใช้ควบคุมจัดการโปรแกรมของตนที่ติดตั้งบนอุปกรณ์ระบบแอนดรอยด์ต่างๆ ทั้งสมาร์ทโฟนและแท็บเล็ต นักพัฒนาสามารถสื่อสารข้อมูลต่างๆ ผ่าน GCM ไม่ว่าจะเป็นคำแจ้งเตือน (Notification) หรือคำสั่งปฏิบัติการ (Command) นอกจากนี้ GCM ยังใช้ในการระบุตำแหน่งเครื่องที่สูญหายหรือถูกขโมย และการตั้งค่าคอนฟิกกูเรชั่นของเครื่อง
ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ตรวจพบว่า เหล่าอาชญาไซเบอร์เริ่มสนใจ GCM กันมากขึ้น โดยจะทำการแทนที่เซิร์ฟเวอร์ Command & Control เพราะเป็นช่องทางที่สะดวกง่ายดาย ราคาถูก เพียงแค่ลงทะเบียนกับ Google เท่านั้น
“ถึงแม้ว่ามัลแวร์ที่ใช้ GCM จะมีจำนวนไม่มากนัก แต่ก็ตรวจพบในแอพพลิเคชั่นที่มีการดาวน์โหลดและติดตั้งกันอย่างแพร่หลาย โดยเฉพาะประเทศในกลุ่มเครือรัฐเอกราช (รัสเซีย, ยูเครน, ฯลฯ) ยุโรปตะวันออก และเอเชีย วิธีเดียวที่จะหยุดการทำงานของมัลแวร์คือการแจ้ง Google เพื่อบล็อกแอคเคาท์ของผู้พัฒนามัลแวร์ ซี่งแคสเปอร์สกี้ แลป ได้แจ้งรายชื่อที่ตรวจพบแก่ Google เรียบร้อยแล้ว” นายโรมันกล่าว
ตัวอย่างมัลแวร์ที่ตรวจพบ
1. โทรจัน Trojan-SMS.AndroidOS.FakeInst.a
โทรจันนี้จะสั่งการให้เครื่องส่งข้อความออก ลบข้อความเข้า สร้างลิ้งก์ไปเว็บกลโกง แสดงโฆษณาหลอกล่อให้ดาวน์โหลดมัลแวร์ โซลูชั่น Kaspersky Mobile Security ตรวจพบและระงับการติดตั้งโปรแกรมเองได้ 4,800,000 ครั้ง เฉพาะปี 2013 คิดเป็น 160,000 ครั้ง พบใน 130 ประเทศทั่วโลก
2. โทรจัน Trojan-SMS.AndroidOS.OpFake.a
โทรจันนี้จะสั่งการให้เครื่องส่งข้อความออกไป ลบข้อความเข้า ขโมยข้อมูลติดต่อใน Contact และข้อความต่างๆ ในเครื่อง โดยแคสเปอร์สกี้ แลป ตรวจจับและระงับการติดตั้งโปรแกรมเองได้มากกว่า 1 ล้านครั้ง
สำหรับดีไวซ์ระบบแอนดรอยด์เวอร์ชั่น 4.2 จะมีการแจ้งเตือนว่าแอพพลิเคชั่นนี้เป็นมัลแวร์อาจทำความเสียหายแก่ดีไวซ์ได้หากติดตั้ง
3. Backdoor.AndroidOS.Maxit.a
ในปี 2013 ที่ผ่านมา สามารถตรวจจับและระงับการติดตั้งโปรแกรมเองได้เกือบ 500 ครั้ง พบมากในประเทศไทย มาเลเซีย ฟิลิปปินส์ และพม่า แอพพลิเคชั่นตัวนี้จะเปิดเว็บไซต์เกมออนไลน์และดำเนินการตามแผนการร้ายไปพร้อมกัน ทั้งส่งข้อความไปยังหมายเลขพิเศษ ลบข้อความในเครื่อง ติดตั้งชอร์ตคัท เปิดเว็บไซต์ และโทรออกอัตโนมัติโดยที่ผู้ใช้งานไม่รู้ตัว โดยภัยคุกคามนี้แพร่หลายผ่านเว็บไซต์ www.momozaap.com
ข้อมูลเพิ่มเติม
GCM in malicious attachments https://www.securelist.com/en/blog/8113/GCM_in_malicious_attachments