เมื่อเร็วๆ นี้ นายรูบี้ ซานโตส นักวิเคราะห์ภัยคุกคามจากศูนย์วิจัยเทรนด์แล็บส์ บริษัท เทรนด์ไมโคร อิงค์ เปิดเผยว่า “เกม Plants vs. Zombies เวอร์ชันดั้งเดิมกลับมาได้รับความนิยมอีกครั้งเมื่อบริษัท ป็อปแคป สตูดิโอ ได้เปิดตัวเกมให้สามารถเล่นได้บนระบบปฏิบัติการ iOS เมื่อปี 2553 ตามมาด้วยระบบปฏิบัติการ Android ในปี 2554 และขณะนี้บริษัทกำลังเดินหน้าเปิดตัวเกมเวอร์ชันใหม่ (เริ่มเปิดตัวแล้วในในนิวซีแลนด์และออสเตรเลีย) ขณะที่อาชญากรไซเบอร์ก็เตรียมพร้อมแล้วเช่นกันที่จะหาประโยชน์จากเกมเวอร์ชันนี้”
ภัยคุกคามนี้เริ่มเคลื่อนไหวครั้งแรกเมื่อช่วงกลางเดือนกรกฏาคมที่ผ่านมา โดยเทรนด์ไมโครตรวจพบเว็บไซต์แบบสำรวจลวงซึ่งโฮสต์โดยบล็อกเกอร์และมีการลิงค์จากหน้าวิดีโอของยูทูป เว็บไซต์ดังกล่าวเป็นแบบสำรวจลวงที่พบได้ทั่วไปและไม่มีการเชื่อมโยงมัลแวร์กับระบบของเหยื่อ หลังจากนั้นเราก็ได้ตรวจพบภัยคุกคาม PvZ2 ในจำนวนที่เพิ่มมากขึ้น จนถึงช่วงปลายเดือนกรกฏาคมพบว่าเฉพาะในกูเกิล เพลย์ (Google Play) มีการตรวจพบภัยคุกคามนี้อย่างน้อยเจ็ดรายการที่มาในรูปของการดาวน์โหลดแอพพลิเคชั่นปลอม หนึ่งในภัยคุกคามที่ตรวจพบเป็นแอพพลิเคชั่นปลอมที่จะนำเสนอโฆษณาที่เป็นอันตรายกับผู้ใช้ได้ โดยสิ่งที่ตรวจพบคือ ANDROIDOS_FAKEZOMB.A ซึ่งคาดว่าจะมีการตรวจพบเพิ่มขึ้นอีกหลังจากนี้
ลักษณะของภัยคุกคามดังกล่าวและเทคนิคด้านวิศวกรรมสังคมที่ซ่อนอยู่เบื้องหลังไม่ใช่สิ่งใหม่ ก่อนหน้านี้เราเคยรายงานเหตุการณ์ในลักษณะเดียวกันนี้ที่มีเป้าหมายเป็นเกมต่างๆ แล้ว อาทิ Candy Crush, Bad Piggies และ Temple Run แต่สิ่งที่น่าสังเกตก็คือรูปแบบของการลวงให้เหยื่อดาวน์โหลดแอพพลิเคชั่นปลอมที่พบในกูเกิล เพลย์ มีลักษณะดังนี้
- การใช้ประโยชน์จากแอพพลิเคชั่นเกมยอดนิยมในเวอร์ชันที่กำลังจะออกมาไปจนถึงแอพพลิเคชั่นเกมที่มีโปรไฟล์สูงที่พร้อมให้บริการแล้วใน iOS App Store แต่ยังไม่มีในกูเกิล เพลย์
- แอพพลิเคชั่นปลอมจะขอให้เหยื่อรีวิวและให้คะแนนแอพในระดับ 5 ดาวก่อนจึงจะสามารถ ‘เล่น’ ได้
- แอพพลิเคชั่นปลอมจะไม่เสียค่าใช้จ่ายตรงข้ามกับแอพจริงที่จะต้องเสียเงิน
สองรูปแบบแรกเป็นการออกแบบเพื่อดึงดูดความสนใจจากผู้ใช้ให้ดาวน์โหลดแอพพลิเคชั่นโดยเฉพาะ ส่วนรูปแบบที่สามมีเหตุผลที่ต่างออกไป เนื่องมาจากนักพัฒนาแอพพลิเคชั่นจะต้องลงทะเบียนบัญชีกูเกิล วัลเล็ต (Google Wallet) ก่อน จึงจะสามารถตั้งค่าแอพของตนให้เป็นแอพแบบเสียเงินได้ ซึ่งเป็นกฎที่บังคับ ใช้ตามนโยบายและข้อตกลงของกูเกิล เพลย์ ด้วยเหตุนี้อาชญากรไซเบอร์จึงพยายามหลีกเลี่ยงการมีบัญชีนักพัฒนาปลอมของตนเพื่อที่ว่าการตามรอยย้อนหลังจะไม่สามารถทำได้
ทั้งนี้กูเกิลได้ดำเนินการอย่างรวดเร็วเพื่อจัดการกับภัยคุกคามที่ตรวจพบในกูเกิล เพลย์ จนถึงขณะนี้ แอพพลิเคชั่นปลอมทั้งหมดหยุดให้บริการแล้ว และ ‘นักพัฒนาปลอม’ ที่นำเสนอแอพพลิเคชั่นดังกล่าวให้ ดาวน์โหลดก็หยุดปฏิบัติการเป็นการชั่วคราว นอกจากนี้ยังตรวจพบการหลอกลวงและการฉ้อโกงในลักษณะที่คล้ายกัน ซึ่งขณะนี้ถูกระงับเรียบร้อยแล้วหลังจากมีการเปิดให้บริการในตลาดแอพพลิเคชั่นไม่ถึง 24 ชั่วโมง
ขณะนี้มีแนวโน้มอย่างมากที่กูเกิลจะบังคับให้นักพัฒนาแอพพลิเคชั่นทุกคนที่ต้องการเผยแพร่แอพบน กูเกิล เพลย์จะต้องลงทะเบียนกูเกิล วัลเล็ตก่อน ซึ่งสิ่งนี้จะช่วยให้กูเกิลสามารถระบุและตรวจสอบความถูกต้องของนักพัฒนาตัวจริงและยังเป็นการขัดขวางการทำงานของอาชญากรไซเบอร์ได้อีกด้วย
แม้ว่าระบบปฏิบัติการแอนดรอย์จะยังคงถูกรบกวนจากมัลแวร์อย่างต่อเนื่อง แต่ดูเหมือนว่ากูเกิลจะพยายามอย่างเต็มที่ในการช่วยรับมือกับปัญหาที่กำลังเพิ่มจำนวนขึ้นดังกล่าว อย่างไรก็ตามผู้ใช้ไม่ควรวางใจเนื่องจากการรักษาความปลอดภัยสำหรับอุปกรณ์มือถือเป็นหน้าที่รับผิดชอบหลักของผู้เป็นเจ้าของ เทรนด์ ไมโครขอแนะนำกฎมาตรฐานในการดาวน์โหลดแอพพลิเคชั่นที่ปลอดภัยที่สุด คือการดาวน์โหลดแอพพลิเคชั่นจากแหล่งที่ได้รับการรับรองว่าเชื่อถือได้เท่านั้น หลีกเลี่ยงการโหลดแอพพลิเคชั่นจากแหล่งอื่นๆ หรือการดาวน์โหลดจาก ‘นักพัฒนา’ ที่น่าสงสัยหรือบุคคลที่ไม่ได้รับการรับรอง
นอกจากนี้โซลูชั่นเทรนด์ ไมโคร โมบาย ซิเคียวริตี้ เพอร์ชันนอล อิดิชั่น (Trend Micro Mobile Security Personal Edition) ยังพร้อมช่วยปกป้องอุปกรณ์แอนดรอยด์ของคุณด้วยการตรวจหาแอพพลิเคชั่นที่มีความเสี่ยงสูงและอาจเป็นอันตรายต่ออุปกรณ์ของคุณได้อีกด้วย สำหรับข้อมูลด้านภัยคุกคามและการรักษาความปลอดภัยสำหรับอุปกรณ์มือถือล่าสุดสามารถดูได้ที่ https://about-threats.trendmicro.com/us/mobile