ไวรัสตัวนี้มาแปลก โดยใช่ช่องทางในการกระจายแบบ SMS โดยจะส่งข้อความสั้นๆ พร้อมลิงค์ดาวน์โหลด ข้อความที่ส่งมาอ่านแล้วก็จะออกแนวดึงความสนใจหรือสร้างความตกใจให้กับผู้รับ อาทิ “แจ้งให้ทราบการส่งของคุณ” หรือ “ผลสรุปคดีของคุณ….” เป็นต้น แน่นอนว่าหมายเลขที่ส่งมาจากใครก็ไม่รู้ ไม่ใช่คนรู้จัก แต่สามารถระบุชื่อของเราได้ถูก (หรือคล้ายๆ ) ว่าเป็นใคร ดังนั้นผู้ใช้มือถือที่ตกเป็นเหยื่อหลายคนจึงคลายการป้องกันไประดับหนึ่งเพราะคิดว่ามาจากคนรู้จัก ซึ่งถ้ารู้เท่าไม่ถึงการณ์ก็พาลกดลิงค์ที่ได้รับมาโดยทันที เพราะอยากรู้ว่ามันเรื่องอะไรกันแน่ ตัวอย่างข้อความ SMS ก็ดังภาพที่ 1 ครับ
ภาพที่ 1 ตัวอย่างข้อความ SMS
ในกรณีนี้เมื่อกดลิงค์เข้ามาแล้ว มือถือจะเปิดเว็บบราวเซอร์และเข้าไปที่หน้าเว็บฝากไฟล์ Dropbox.com ซึ่งมีไฟล์ชื่อประมาณว่า “แจ้ง.apk” หรือ “คดี.apk” เป็นต้น พร้อมปุ่มที่เขียนกำกับว่า Download รอให้คุณคลิกตามภาพที่ 2 ด้วยความน่าเชื่อถือของ Dropbox ที่หลายคนคุ้นเคย (แต่อาจลืมไปว่า Dropbox เป็นบริการให้ฝากไฟล์เฉยๆ ไม่ได้เป็นคนสร้างไฟล์ขึ้นมาเองซะหน่อย) เหยื่อหลายคนก็คลายการป้องกันอีกชั้นและกดลิงค์เพื่อดาวน์โหลดแทบจะทันที
ภาพที่ 2 หน้าเว็บฝากไฟล์ Dropbox.com จากลิงค์ใน SMS
ก่อนจะไปต่อ ผมขออธิบายเรื่องเกี่ยวกับไฟล์ apk เสียหน่อยครับ ถ้าเป็นระบบวินโดวส์ไฟล์ที่สามารถดับเบิ้ลคลิกแล้วทำงานได้คือไฟล์ที่ต้องมีนามสกุล .exe อันนี้หลายคนน่าจะทราบดีอยู่แล้ว เช่นเดียวกัน บนแอนดรอยด์นั้นไฟล์ที่สามารถทำงานได้คือ .apk ซึ่งก็คือที่มาของแอพต่างๆ ที่เราใช้กันอยู่ในสมาร์ทโฟนแอนดรอยด์ทั่วไป ความง่ายในการติดตั้งแอพต่างๆ บนแอนดรอยด์นั้นง่ายมาก เพียงแค่คุณไปก็อปปี้ไฟล์ .apk ของแอพที่ต้องการมาจากที่ไหนก็ได้และเอามาใส่ในสมาร์ทโฟน จากนั้นใช้แอพประเภทจัดการไฟล์ (file manager) มาสั่งให้มันทำงาน เท่านี้ก็เสร็จ ด้วยความง่ายของระบบทำให้เกิดช่องโหว่ที่ไวรัสสามารถจะแฝงตัวเข้ามาได้ง่ายๆ เช่นกัน
มาต่อกันที่ Dropbox หลังจากที่เราดาวน์โหลดมาแล้วเป็นไฟล์ .apk ระบบแอนดรอยด์จะแจ้งการติดตั้งแอพตามปกติ ซึ่งจะบอกรายละเอียดด้วยว่าแอพนี้มีการเข้าถึงข้อมูลอะไรได้บ้างตามภาพที่ 3 ซึ่งผมเชื่อว่าหลายๆ คนคงไม่เคยอ่านแบบละเอียดและร้อยทั้งร้อยก็กดปุ่ม Install แทบจะทันที ผลที่ตามมาก็คือเราได้ติดตั้งไวรัสไปแล้วเรียบร้อยด้วยความสมัครใจ
ภาพที่ 3 เมื่อติดตั้งไฟล์จาก Dropbox.com
ทีนี้เรามาลองพิจารณารายละเอียดของแอพที่แจ้งเข้ามาก่อนที่จะติดตั้งตามภาพที่ 3 ก็จะพบสิ่งที่ผิดสังเกตต่างๆ มากมายดังนี้
- ชื่อของแอพไม่ได้ชื่อว่า แจ้ง หรืออะไรที่เกี่ยวข้องกับการแจ้งส่งของ แต่ใช้ชื่อว่า Google Service Framework แต่หลายคนอาจมองข้ามไป เพราะชื่อกูเกิ้ลอาจหลงคิดไปว่าน่าเชื่อถือ แต่ในความเป็นจริงไวรัสก็สามารถปลอมแปลงชื่อได้ครับ
- รายละเอียดเกี่ยวกับ Privacy หรือความเป็นส่วนตัว อันนี้ควรดูให้ละเอียดว่าแอพนั้นๆ ต้องการข้อมูลส่วนตัวแบบไหน ไปทำอะไร อย่างไวรัสตัวนี้ บอกชัดเจนเลยครับว่า มันต้องการแก้ไข อ่าน และส่ง SMS ซึ่งอันนี้ผิดปกติอย่างมากเลยทีเดียว
- รายละเอียดเกี่ยวกับ Device Access นั้นมีแค่ 2 ข้อ แต่เป็นสองข้อที่ผิดปกติอย่างแรง นั่นคือความต้องการเข้าถึงเครือข่ายแบบเต็มเวลา (Full network access) และต้องการรันตัวเองทุกครั้งที่เปิดเครื่อง (run at startup) ถ้าเป็นแอพเกี่ยวกับการแจ้งการส่งของตามชื่อ ก็ไม่เห็นความจำเป็นที่จะต้องใช้คุณสมบัติเหล่านี้ ถูกไหมครับ
จะเห็นว่าถ้าหากเราใช้เวลามานั่งอ่านรายละเอียดตรงนี้เสียก่อน ก็จะสามารถจับพิรุธได้หลายอย่าง และหลีกเลี่ยงที่จะโดนไวรัสได้โดยไม่จำเป็น
ทีนี้ถ้าเกิดว่าคุณดันติดตั้งไปแล้วจะทำอย่างไร? ผลของไวรัสตัวนี้ถ้าอ่านดูตามรายละเอียด และที่ยืนยันจากคนที่โดนกันมาแล้วก็คือ ตัวแอพจะแอบส่งข้อความ SMS ออกไปเองตามรายชื่อและเบอร์โทรที่เราเก็บไว้ในคอนแท็กต์ สิ่งที่ตามมาแน่ๆ ก็คือค่าบิล SMS ที่เหยื่อจะโดนเรียกเก็บสูงผิดปกติ ความเสียหายอื่นๆ นั้นไม่มีแจ้งเพิ่มเติมครับ
วิธีแก้ไข
ภาพที่ 4 ปิดเซอร์วิส Google Service Framework
ไวรัสตัวนี้น่าจะทำขึ้นมาเพราะลองของและกลั่นแกล้งกันมากกว่าที่แฮกเกอร์จะนำไปใช้ประโยชน์จริงๆ ในตอนแรกก่อนติดตั้งเราทราบแล้วว่าตัวแอพชื่อ Google Service Framework ซึ่งก็คือเซอร์วิสหนึ่งในระบบของแอนดรอยด์ เมื่อติดตั้งเข้าไปแล้วจะฝังตัวกลายเป็นเซอร์วิสซึ่งไม่สามารถถอนการติดตั้งได้ในแบบวิธีปกติ ถ้าจะเอาออกต้องไปปิดเซอร์วิส Google Service Framework เสียก่อน โดยการเข้าไปที่เมนู Settings > Device Administrator > Google Service Framework แล้วกดปุ่ม Deactivate เพื่อให้มันหยุดทำงาน (ภาพที่ 4) หลังจากนั้นจึงสามารถอนการติดตั้งได้ตามปกติที่เมนู Settings > App manager (ภาพที่ 5) 
ภาพที่ 5 ถอนการติดตั้ง
วิธีป้องกัน
ตั้งแต่แอนดรอยด์รุ่นที่ 4 เป็นต้น ก็ได้ปรับปรุงระบบความปลอดภัยในตัวเองมากขึ้น โดยเฉพาะการติดตั้งไฟล์ .apk จากภายนอกนั้นต้องผ่านกระบวนการหลายขั้นตอนพอสมควร อาทิ:
ภาพที่ 6 ป้องกันการติดตั้งแอพ Unknown sources
- เมนู Settings > Security > Unknown sources อันนี้มีมาตั้งแต่แรก (ภาพที่ 6) โดยค่าปกติคือมันจะถูกเช็คไว้ เพื่อป้องกันไม่ให้ผู้ใช้นำเอาไฟล์ .apk จากภายนอกมาติดตั้งในเครื่องได้ง่ายๆ อย่างไรก็ดีหากมีการติดตั้ง .apk จากภายนอกเกิดขึ้น ระบบก็จะแจ้งผู้ใช้ว่ายังไม่เปิดเมนู Unknow sources อยู่ดี และผู้ใช้ก็จะสามารถเข้าไปเปลี่ยนได้เลย (ภาพที่ 7)
ภาพที่ 7 ป้องกันการติดตั้งแอพ Unknown sources - เมนู Settings > Security > Verify apps อันนี้เป็นข้อควรระวังที่เพิ่มเข้าในแอนดรอยด์รุ่นใหม่ คือสมมติว่าผู้ใช้ไปเอาติ๊กถูกออกที่เมนู Unknow sources เพื่อยอมให้ติดตั้งได้ แต่ระบบก็จะยังขึ้นเตือนและแจ้งว่าจะมีการส่งข้อมูลไปให้กูเกิ้ลตรวจสอบเพื่อความปลอดภัยอีกชั้นหนึ่ง ดังภาพที่ 8
ภาพที่ 8 ป้องกันการติดตั้งแอพ Unknown sources - นอกจากนี้ก่อนที่จะติดตั้งแอพที่ไม่ทราบที่มาลงในเครื่อง ระบบก็จะมีการเตือนก่อนชั้นหนึ่งอยู่แล้วดังภาพที่ 9 แต่ก็ยังคงยอมให้ผู้ใช้สั่งติดตั้งให้อยู่ดีถ้ากด OK
ภาพที่ 8 แจ้งเตือนการติดตั้งแอพ Unknown sources - การใช้แอพแอนตี้ไวรัสก็น่าจะเป็นทางเลือกที่ดี อีกทั้งแอนตี้ไวรัสจากค่ายดังๆ ที่ให้โหลดฟรีใน Play store นั้นก็มีมากมายครับ อาทิ Kaspersky , McAfee, Symantec และอื่นๆ เป็นต้น ควรจะไปโหลดติดเครื่องไว้ก่อนครับ
โดยสรุปแล้ว การที่ไวรัสจะแพร่เข้าสู่ระบบแอนดรอยด์ได้นั้น ส่วนใหญ่ก็ยังต้องอาศัยความยินยอมจากผู้ใช้เอง โดยใช้วิธีหลอกลวงต่างๆ นา หรืออาศัยความอยากรู้อยากเห็นของคนเราเป็นเหยื่อล่อ สำหรับคนที่ไม่มีพื้นฐานความรู้เรื่องแบบนี้มาก่อนก็อาจที่จะถูกหลอกได้ง่าย ผมหวังว่ากรณีศึกษาที่ผมยกมาให้อ่านกันในครั้งนี้น่าจะช่วยให้ผู้อ่านได้รู้เท่าทันไวรัสของแอนดรอยด์ได้มากขึ้น และสามารถป้องกันตัวเองได้ในอนาคตนะครับ
