
นักวิจัยด้านความปลอดภัยไซเบอร์ออกโรงเตือนภัยเกี่ยวกับ RedHook มัลแวร์ประเภท Remote Access Trojan (RAT) สำหรับ Android ที่สามารถเข้าควบคุมสมาร์ทโฟนของเหยื่อได้เกือบทั้งหมด พร้อมขโมยข้อมูลสำคัญ โดยอาศัยการเปิดใช้งาน Wireless ADB (Android Debug Bridge) ซึ่งเดิมเป็นเครื่องมือสำหรับนักพัฒนา แต่กลับถูกนำมาใช้เป็นช่องทางโจมตี
รายงานจาก Group-IB ระบุว่า แฮ็กเกอร์มักเริ่มต้นด้วยการส่งลิงก์ผ่าน SMS อีเมล การโทร หรือโซเชียลมีเดีย พร้อมปลอมตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนหรือองค์กรที่น่าเชื่อถือ เพื่อหลอกให้เหยื่อดาวน์โหลดและติดตั้งไฟล์ APK จากเว็บไซต์ปลอมที่มีหน้าตาคล้าย Google Play Store

หลังติดตั้งแอปปลอม ผู้ใช้จะถูกชักจูงให้เปิด Accessibility Permissions โดยอ้างว่าเป็นสิทธิ์ที่จำเป็นต่อการใช้งานแอป จากนั้น RedHook จะใช้สิทธิ์ดังกล่าวแอบเปิด Wireless ADB ผ่านเมนู Developer Options ทำให้แฮ็กเกอร์สามารถเข้าถึงระบบระดับลึกของเครื่องได้
เมื่อควบคุมอุปกรณ์สำเร็จ แฮ็กเกอร์สามารถสั่งงานสมาร์ทโฟนจากระยะไกล ไม่ว่าจะเป็นการดักจับการพิมพ์ข้อความ ดูหน้าจอแบบเรียลไทม์ ควบคุมการล็อกหน้าจอ รวมถึงเข้าถึงข้อมูลส่วนตัวจำนวนมาก
RedHook ถูกค้นพบครั้งแรกโดยนักวิจัยจาก Cyble เมื่อปีที่ผ่านมา แต่เวอร์ชันล่าสุดมีความซับซ้อนมากขึ้น โดยใช้เทคนิคที่ช่วยให้มัลแวร์ทำงานต่อเนื่องและหลีกเลี่ยงการถูกปิด หนึ่งในเทคนิคคือการใช้ WakeLock เพื่อป้องกันไม่ให้ระบบเข้าสู่โหมดพัก และสร้างหน้าต่างขนาดเพียง 1×1 พิกเซล ที่แทบมองไม่เห็น เพื่อหลอก Android ให้เข้าใจว่ายังมีโปรเซสสำคัญทำงานอยู่
นอกจากนี้ Group-IB ยังพบว่า RedHook ใช้กลไกที่เรียกว่า “Dual-Service Cross-Process Resurrection” หรือการให้บริการสองตัวคอยเปิดการทำงานให้กันและกัน หากตัวหนึ่งถูกปิด อีกตัวจะรีสตาร์ตกลับมาโดยอัตโนมัติ ทำให้การลบมัลแวร์ทำได้ยากกว่าปกติ ปัจจุบันการโจมตีพบมากใน เวียดนาม และเริ่มมีรายงานการแพร่กระจายไปยัง อินโดนีเซีย แล้ว
ผู้เชี่ยวชาญแนะนำให้ดาวน์โหลดแอปจาก Google Play Store หรือแหล่งที่เชื่อถือได้เท่านั้น หลีกเลี่ยงการติดตั้งไฟล์ APK จากลิงก์ที่ได้รับผ่านข้อความหรือโซเชียลมีเดีย และควรตรวจสอบคำขอสิทธิ์การเข้าถึง (Permissions) ทุกครั้งก่อนกดยอมรับ โดยเฉพาะสิทธิ์ Accessibility
ที่มา androidauthority






