เมื่อโลกดิจิทัลกลายเป็นสนามรบใหม่ในสงครามข่าวกรอง ความปลอดภัยของสมาร์ตโฟนจึงไม่ใช่เรื่องส่วนตัวอีกต่อไป
ล่าสุด นักวิจัยจาก Lookout ได้ค้นพบมัลแวร์ Android ตัวใหม่ชื่อว่า DCHSpy ซึ่งเชื่อมโยงกับหน่วยข่าวกรองของอิหร่าน และถูกใช้เป็นเครื่องมือสอดแนมกลุ่มผู้เห็นต่าง ผ่านแอป VPN และ Starlink ปลอมที่ดูเหมือนไม่มีพิษภัย
แฮ็กเกอร์รัฐปลอมแอป VPN

สปายแวร์ DCHSpy ถูกค้นพบครั้งแรกในเดือนกรกฎาคม 2024 โดยบริษัทด้านความปลอดภัย Lookout โดยเชื่อว่าเป็นผลงานของกลุ่มแฮกเกอร์ MuddyWater ซึ่งเป็นหน่วยงานที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน และเป็นที่รู้จักในชื่ออื่นๆ เช่น Boggy Serpens, Mango Sandstorm, และ Yellow Nix
ในช่วงแรก DCHSpy มุ่งเป้าไปยังผู้ใช้ที่พูดภาษาอังกฤษและภาษาฟาร์ซีผ่านช่องทาง Telegram ที่มีเนื้อหาต่อต้านระบอบการปกครอง แต่ในเวอร์ชันล่าสุดนี้มีการปลอมตัวเป็นแอป VPN ยอดนิยม เช่น Earth VPN, Comodo VPN และ Hide VPN รวมถึงแอปที่เกี่ยวข้องกับ Starlink ซึ่งเป็นบริการที่ได้รับความนิยมในอิหร่านเนื่องจากเคยมีการปิดกั้นอินเทอร์เน็ตโดยรัฐบาล
ใครคือเป้าหมาย?
การโจมตีครั้งนี้มีความซับซ้อนและเจาะจงสูง โดยเฉพาะกลุ่มนักเคลื่อนไหว นักข่าว และผู้เห็นต่างจากรัฐบาลอิหร่าน โดยใช้ช่องทาง Telegram และเนื้อหาที่ต่อต้านรัฐบาลเพื่อหลอกให้ติดตั้งแอป เมื่อเหยื่อติดตั้งมัลแวร์แล้ว DCHSpy จะทำการเก็บข้อมูลส่วนตัวจำนวนมาก เช่น
- ข้อมูลบัญชีผู้ใช้งาน
- รายชื่อผู้ติดต่อ
- ข้อความ SMS
- ประวัติการโทร
- ไฟล์ภายในเครื่อง
- ตำแหน่งที่ตั้ง
- ข้อมูลจาก WhatsApp
- การบันทึกเสียงและถ่ายภาพจากกล้องโดยไม่รู้ตัว
นอกจากนี้ DCHSpy ยังมีความเชื่อมโยงกับมัลแวร์ Android อีกตัวที่ชื่อว่า SandStrike ซึ่งเคยถูก Kaspersky ตรวจจับได้เมื่อปลายปี 2022 โดยมุ่งเป้าไปที่ผู้พูดภาษาเปอร์เซียผ่านแอป VPN ที่ไม่เป็นอันตรายเช่นกัน
ทำไมถึงใช้ชื่อ Starlink หลอก?
Starlink เป็นบริการอินเทอร์เน็ตผ่านดาวเทียมของ SpaceX ที่เพิ่งเปิดให้บริการในอิหร่าน หลังรัฐบาลมีคำสั่งปิดกั้นอินเทอร์เน็ตแบบกว้างขวาง เพื่อควบคุมการเข้าถึงข้อมูลของประชาชน การนำชื่อ Starlink มาใช้เป็นเหยื่อล่อจึงเป็นกลยุทธ์ที่แนบเนียน และหลอกผู้ใช้ได้ง่ายในบริบททางการเมือง
สงครามไซเบอร์ยังไม่จบ
DCHSpy เป็นเพียงหนึ่งในกลุ่มสปายแวร์ที่กำลังระบาดในตะวันออกกลาง ยังมีมัลแวร์อื่น ๆ ที่ถูกค้นพบก่อนหน้านี้ เช่น AridSpy, BouldSpy, GuardZoo, RatMilad และ SpyNote ซึ่งมักใช้รูปแบบเดียวกันคือปลอมเป็นแอปที่มีประโยชน์ เช่น VPN, แอปความปลอดภัย หรือแอปเชื่อมต่อเครือข่าย
วิธีป้องกันตัวจากมัลแวร์แฝงในแอป VPN
- หลีกเลี่ยงการติดตั้งแอปจากไฟล์ APK ที่ไม่ได้มาจาก Google Play Store หรือเว็บไซต์ทางการ
- ตรวจสอบชื่อผู้พัฒนาแอปให้แน่ใจก่อนดาวน์โหลด
- ใช้โซลูชันป้องกันมัลแวร์ที่น่าเชื่อถือบนอุปกรณ์มือถือ
- อัปเดตระบบปฏิบัติการและแอปพลิเคชันอยู่เสมอ
- ระวังลิงก์ที่ส่งมาผ่านแอปแชต เช่น Telegram หรือ WhatsApp
การระมัดระวังและตรวจสอบให้รอบคอบจะช่วยให้คุณปลอดภัยจากภัยคุกคามทางไซเบอร์ที่กำลังแพร่หลายเหล่านี้ได้
ที่มา: The Hacker News – Iran-Linked DCHSpy Android Malware Masquerades as VPN Apps to Spy on Dissidents