ระวังให้ดี: แอปฟรีที่คุณโหลด อาจไม่ฟรีสำหรับข้อมูลของคุณ
มีการค้นพบแคมเปญมัลแวร์ครั้งใหญ่บน Android ที่ถูกตั้งชื่อว่า “Vapor” โดยเบื้องต้นพบแอปอันตรายกว่า 300 แอป และมียอดดาวน์โหลดรวมกันทะลุ 60 ล้านครั้ง บน Google Play ไปแล้ว
แอปเหล่านี้ส่วนใหญ่ทำตัวเป็น Adware และบางส่วนพยายาม ขโมยข้อมูล credentials และข้อมูลบัตรเครดิต จากผู้ใช้แบบแนบเนียนสุด ๆ
ใครพบ Vapor และมันเริ่มระบาดตั้งแต่เมื่อไหร่?
ปฏิบัติการนี้ถูกตรวจพบครั้งแรกโดย IAS Threat Lab ซึ่งจัดให้พฤติกรรมอันตรายชุดนี้อยู่ภายใต้ชื่อ “Vapor” และระบุว่าแคมเปญดังกล่าวเริ่มดำเนินการมาตั้งแต่ ต้นปี 2024
จากข้อมูลของ IAS มีแอปอย่างน้อย 180 แอป ที่เข้าเกณฑ์เป็นส่วนหนึ่งของแคมเปญ Vapor และแอปเหล่านี้สร้าง คำขอโฆษณาปลอมมากกว่า 200 ล้านครั้งต่อวัน เพื่อใช้ในการหลอกลวงเชิงโฆษณาในวงกว้าง
ต่อมา Bitdefender ออกรายงานเพิ่มเติมพบว่า จำนวนแอปอันตรายเพิ่มขึ้นเป็น 331 แอป และมีการติดมัลแวร์อย่างหนักในประเทศต่าง ๆ เช่น บราซิล, สหรัฐอเมริกา, เม็กซิโก, ตุรกี และเกาหลีใต้
Bitdefender เตือนอย่างชัดเจนว่า “แอปกลุ่มนี้ไม่เพียงแค่แสดงโฆษณาที่ไม่เกี่ยวข้องกับเนื้อหา แต่ยังพยายามหลอกให้เหยื่อเปิดเผย credentials และข้อมูลบัตรเครดิต ผ่านการโจมตีแบบฟิชชิง”
แม้ปัจจุบันแอปกลุ่มนี้จะถูกลบออกจาก Google Play แล้ว แต่ความเสี่ยงยังไม่จบ เพราะผู้โจมตีแสดงให้เห็นแล้วว่าสามารถ หลบเลี่ยงระบบตรวจสอบของ Google ได้ และมีโอกาสสูงที่ Vapor จะกลับมาอีกภายใต้แอปใหม่ ๆ
แอปแบบไหนที่ถูกใช้ในแคมเปญ Vapor?
แอปที่ถูกใช้ในแคมเปญนี้ส่วนใหญ่เป็นแอป utilities ที่ดูไม่น่าแปลกใจอะไร และมักให้ฟังก์ชันที่ผู้ใช้ Android เจอบ่อย เช่น
แอปติดตามสุขภาพและการออกกำลังกาย
แอปจดบันทึกและไดอารี่
แอปช่วยจัดการ/ยืดอายุแบตเตอรี่
แอปสแกน QR code
ที่น่ากลัวคือ ตอนที่อัปโหลดขึ้น Google Play แอปเหล่านี้ ผ่านการตรวจสอบความปลอดภัยตามปกติ เพราะในช่วงแรกฟังก์ชันทุกอย่างตรงกับที่โฆษณาไว้ และยังไม่มีโค้ดอันตรายแฝงอยู่
ความอันตรายเริ่มขึ้นหลังจากที่ผู้ใช้ติดตั้งแอปแล้ว โดยฟังก์ชันอันตรายจะถูก ดาวน์โหลดเพิ่มจาก C2 Server ผ่านการอัปเดต ภายหลัง เพื่อลดโอกาสถูกระบบของ Google ตรวจจับได้ทันที
ตัวอย่างแอปที่ถูกเน้นย้ำเป็นพิเศษ
Bitdefender และ IAS ระบุชื่อแอปบางตัวที่น่าสนใจและมีตัวเลขการติดตั้งสูงมาก เช่น
AquaTracker – ดาวน์โหลดกว่า 1,000,000 ครั้ง
ClickSave Downloader – ดาวน์โหลดกว่า 1,000,000 ครั้ง
Scan Hawk – ดาวน์โหลดกว่า 1,000,000 ครั้ง
Water Time Tracker – ดาวน์โหลดกว่า 1,000,000 ครั้ง
Be More – ดาวน์โหลดกว่า 1,000,000 ครั้ง
BeatWatch – ดาวน์โหลดกว่า 500,000 ครั้ง
TranslateScan – ดาวน์โหลดกว่า 100,000 ครั้ง
Handset Locator – ดาวน์โหลดกว่า 50,000 ครั้ง
แอปในแคมเปญ Vapor ไม่ได้มาจากนักพัฒนาบัญชีเดียว แต่ถูกอัปโหลดจาก หลายบัญชีนักพัฒนา โดยแต่ละบัญชีจะอัปโหลดเพียงไม่กี่แอป เพื่อลดความเสี่ยงหากมีแอปใดแอปหนึ่งถูกลบออก
นอกจากนี้ นักพัฒนาแต่ละรายยังใช้ ads SDK คนละตัว เพื่อกระจายความเสี่ยงและหลบเลี่ยงรูปแบบที่อาจถูกระบบตรวจจับจับได้ง่าย
จากข้อมูลการเผยแพร่ แอปกลุ่ม Vapor ส่วนใหญ่ถูกปล่อยบน Google Play ระหว่างช่วง ตุลาคม 2024 ถึงมกราคม 2025 และยังมีการอัปโหลดเพิ่มเติมต่อเนื่องมาถึง มีนาคม 2025
เบื้องหลังความเนียน: ฟังก์ชันอันตรายทำงานอย่างไร?
หนึ่งในเทคนิคที่ทำให้ Vapor น่ากังวลคือ การซ่อนตัวเองจากสายตาผู้ใช้
หลังจากติดตั้ง แอป Vapor จะเข้าไปปรับการทำงานของ Launcher ในไฟล์ `AndroidManifest.xml` ทำให้ไอคอนของแอป หายไปจากหน้าจอหลัก ผู้ใช้จึงมองไม่เห็นแอป และยากจะนึกออกว่ามีอะไรถูกติดตั้งเพิ่มมา
บางกรณี แอปยังจะ เปลี่ยนชื่อในหน้าการตั้งค่า เพื่อให้ดูน่าเชื่อถือ เช่น เปลี่ยนชื่อให้คล้ายแอปจากผู้พัฒนารายใหญ่ ทำให้ผู้ใช้ไม่ระแวง
ที่อันตรายกว่านั้นคือ แอปสามารถ ทำงานเบื้องหลังได้เอง โดยไม่ต้องมีการเปิดจากผู้ใช้ และใช้ Native Code ในการเรียกใช้งาน secondary hidden component ขณะเดียวกันก็ยังคงปิดใช้งาน Launcher Activity เพื่อซ่อนไอคอนไว้ต่อไป
Bitdefender ระบุว่า เทคนิคนี้ช่วยให้ Vapor สามารถ หลบเลี่ยงการป้องกันบน Android 13 ขึ้นไปได้ ทั้งที่ปกติแล้ว Android เวอร์ชันใหม่จะไม่อนุญาตให้แอปไปปิดการทำงานของ Launcher Activity หลังจากเปิดใช้งานไปแล้ว
เล่นใหญ่ด้วย Overlay: โฆษณาเต็มจอ ปิดไม่ได้ และชวนกรอกข้อมูล
มัลแวร์ Vapor ยังสามารถเลี่ยงข้อจำกัดของ permission `SYSTEM_ALERT_WINDOW` บน Android 13 ขึ้นไป ด้วยการสร้าง Fullscreen Overlay ครอบบนหน้าจอ
ผลคือ
โฆษณาจะถูกแสดงทับอยู่ด้านบนแอปทุกตัว
ผู้ใช้พยายามปิดก็ทำไม่ได้ เพราะ ปุ่ม Back ถูกปิดการทำงาน
แอปจะลบตัวเองออกจากรายการ Recent Tasks ทำให้ผู้ใช้ ไม่สามารถตรวจสอบได้ว่าแอปไหนเป็นตัวต้นเหตุ
Bitdefender ยังพบว่า บางแอปไม่ได้หยุดแค่การแสดงโฆษณา แต่ยังแสดง หน้าล็อกอินปลอม เลียนแบบบริการยอดนิยม เช่น Facebook หรือแพลตฟอร์มอื่น ๆ เพื่อหลอกขโมย credentials ของผู้ใช้
บางหน้าจอยังอาจหลอกให้ผู้ใช้กรอก ข้อมูลบัตรเครดิต ภายใต้ข้ออ้างต่าง ๆ เช่น ยืนยันตัวตน, ปลดล็อกฟีเจอร์, สมัครบริการพรีเมียม เป็นต้น
สรุปง่าย ๆ คือ: คุณอาจกำลังกรอกข้อมูลสำคัญให้แฮกเกอร์โดยไม่รู้ตัว
เช็กด่วน! คุณควรทำอย่างไรถ้าใช้ Android
เพื่อป้องกันตัวเองจากแคมเปญลักษณะเดียวกับ Vapor มีคำแนะนำที่ผู้ใช้ Android ควรทำเป็นนิสัย ดังนี้
อย่าติดตั้งแอปที่ไม่จำเป็น โดยเฉพาะแอป utilities จากนักพัฒนาที่ไม่คุ้นชื่อหรือไม่มีรีวิวที่น่าเชื่อถือ
ก่อนติดตั้งแอปใหม่ ให้ ตรวจสอบสิทธิ์การเข้าถึง (permissions) อย่างละเอียด หากแอปธรรมดาขอสิทธิ์เกินเหตุ เช่น แอปจดโน้ตแต่ขอสิทธิ์เข้าถึง SMS หรือบัตรเครดิต ควรหลีกเลี่ยงทันที
ลอง เปรียบเทียบรายการแอปบนหน้าจอหลัก กับรายการแอปในเมนู
`Settings → Apps → See all apps`
หากใน Settings มีแอปที่ไม่เห็นไอคอนบนหน้าจอหลัก หรือไม่รู้จักชื่อแอปมาก่อน ให้ระวังเป็นพิเศษถ้าพบแอปแปลก ๆ หรือสงสัยว่าอาจเกี่ยวข้องกับโฆษณาเต็มจอที่ปิดไม่ได้ ให้ ถอนการติดตั้งทันที
หลังจากลบแอปน่าสงสัยแล้ว ควร สแกนเครื่องด้วย Google Play Protect หรือใช้แอปแอนตี้มัลแวร์บนมือถือที่น่าเชื่อถือเพื่อเช็กซ้ำ
สายโหลดแอปต้องรู้: ยอดดาวน์โหลดเยอะ ไม่ได้แปลว่าปลอดภัย
กรณีของ Vapor เป็นตัวอย่างชัดเจนว่า
แอปที่ดูมีฟังก์ชันธรรมดา ๆ
มียอดดาวน์โหลดหลักล้าน
ผ่านการตรวจสอบจาก Google Play
ก็ยังสามารถกลายเป็นช่องทางให้มัลแวร์และผู้ไม่หวังดีเข้ามาขโมยข้อมูลส่วนตัวและข้อมูลการเงินของคุณได้
สุดท้าย ต่อให้ใช้จากแหล่งที่ดูปลอดภัยอย่าง Google Play ความระมัดระวังของผู้ใช้ก็ยังเป็นด่านป้องกันที่สำคัญที่สุดเสมอ
ก่อนกดปุ่ม Install ครั้งต่อไป ลองหยุดคิดสัก 5 วินาที ว่าแอปนี้จำเป็นจริงไหม น่าเชื่อถือพอหรือเปล่า และสิ่งที่คุณอาจต้องแลก อาจไม่ใช่แค่พื้นที่ในเครื่อง แต่คือข้อมูลทั้งชีวิตดิจิทัลของคุณเอง