+02 683-5100
สั่งซื้อโทรกลับ

DCHSpy: มัลแวร์อิหร่านแฝงตัวในแอป VPN และ Starlink ปลอม

เมื่อโลกดิจิทัลกลายเป็นสนามรบใหม่ในสงครามข่าวกรอง ความปลอดภัยของสมาร์ตโฟนจึงไม่ใช่เรื่องส่วนตัวอีกต่อไป

ล่าสุด นักวิจัยจาก Lookout ได้ค้นพบมัลแวร์ Android ตัวใหม่ชื่อว่า DCHSpy ซึ่งเชื่อมโยงกับหน่วยข่าวกรองของอิหร่าน และถูกใช้เป็นเครื่องมือสอดแนมกลุ่มผู้เห็นต่าง ผ่านแอป VPN และ Starlink ปลอมที่ดูเหมือนไม่มีพิษภัย

แฮ็กเกอร์รัฐปลอมแอป VPN

สปายแวร์ DCHSpy ถูกค้นพบครั้งแรกในเดือนกรกฎาคม 2024 โดยบริษัทด้านความปลอดภัย Lookout โดยเชื่อว่าเป็นผลงานของกลุ่มแฮกเกอร์ MuddyWater ซึ่งเป็นหน่วยงานที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน และเป็นที่รู้จักในชื่ออื่นๆ เช่น Boggy Serpens, Mango Sandstorm, และ Yellow Nix

ในช่วงแรก DCHSpy มุ่งเป้าไปยังผู้ใช้ที่พูดภาษาอังกฤษและภาษาฟาร์ซีผ่านช่องทาง Telegram ที่มีเนื้อหาต่อต้านระบอบการปกครอง แต่ในเวอร์ชันล่าสุดนี้มีการปลอมตัวเป็นแอป VPN ยอดนิยม เช่น Earth VPN, Comodo VPN และ Hide VPN รวมถึงแอปที่เกี่ยวข้องกับ Starlink ซึ่งเป็นบริการที่ได้รับความนิยมในอิหร่านเนื่องจากเคยมีการปิดกั้นอินเทอร์เน็ตโดยรัฐบาล

    ใครคือเป้าหมาย?

    การโจมตีครั้งนี้มีความซับซ้อนและเจาะจงสูง โดยเฉพาะกลุ่มนักเคลื่อนไหว นักข่าว และผู้เห็นต่างจากรัฐบาลอิหร่าน โดยใช้ช่องทาง Telegram และเนื้อหาที่ต่อต้านรัฐบาลเพื่อหลอกให้ติดตั้งแอป เมื่อเหยื่อติดตั้งมัลแวร์แล้ว DCHSpy จะทำการเก็บข้อมูลส่วนตัวจำนวนมาก เช่น

    • ข้อมูลบัญชีผู้ใช้งาน
    • รายชื่อผู้ติดต่อ
    • ข้อความ SMS
    • ประวัติการโทร
    • ไฟล์ภายในเครื่อง
    • ตำแหน่งที่ตั้ง
    • ข้อมูลจาก WhatsApp
    • การบันทึกเสียงและถ่ายภาพจากกล้องโดยไม่รู้ตัว

    นอกจากนี้ DCHSpy ยังมีความเชื่อมโยงกับมัลแวร์ Android อีกตัวที่ชื่อว่า SandStrike ซึ่งเคยถูก Kaspersky ตรวจจับได้เมื่อปลายปี 2022 โดยมุ่งเป้าไปที่ผู้พูดภาษาเปอร์เซียผ่านแอป VPN ที่ไม่เป็นอันตรายเช่นกัน

    Starlink เป็นบริการอินเทอร์เน็ตผ่านดาวเทียมของ SpaceX ที่เพิ่งเปิดให้บริการในอิหร่าน หลังรัฐบาลมีคำสั่งปิดกั้นอินเทอร์เน็ตแบบกว้างขวาง เพื่อควบคุมการเข้าถึงข้อมูลของประชาชน การนำชื่อ Starlink มาใช้เป็นเหยื่อล่อจึงเป็นกลยุทธ์ที่แนบเนียน และหลอกผู้ใช้ได้ง่ายในบริบททางการเมือง

    สงครามไซเบอร์ยังไม่จบ

    DCHSpy เป็นเพียงหนึ่งในกลุ่มสปายแวร์ที่กำลังระบาดในตะวันออกกลาง ยังมีมัลแวร์อื่น ๆ ที่ถูกค้นพบก่อนหน้านี้ เช่น AridSpy, BouldSpy, GuardZoo, RatMilad และ SpyNote ซึ่งมักใช้รูปแบบเดียวกันคือปลอมเป็นแอปที่มีประโยชน์ เช่น VPN, แอปความปลอดภัย หรือแอปเชื่อมต่อเครือข่าย

    วิธีป้องกันตัวจากมัลแวร์แฝงในแอป VPN

    • หลีกเลี่ยงการติดตั้งแอปจากไฟล์ APK ที่ไม่ได้มาจาก Google Play Store หรือเว็บไซต์ทางการ
    • ตรวจสอบชื่อผู้พัฒนาแอปให้แน่ใจก่อนดาวน์โหลด
    • ใช้โซลูชันป้องกันมัลแวร์ที่น่าเชื่อถือบนอุปกรณ์มือถือ
    • อัปเดตระบบปฏิบัติการและแอปพลิเคชันอยู่เสมอ
    • ระวังลิงก์ที่ส่งมาผ่านแอปแชต เช่น Telegram หรือ WhatsApp

    การระมัดระวังและตรวจสอบให้รอบคอบจะช่วยให้คุณปลอดภัยจากภัยคุกคามทางไซเบอร์ที่กำลังแพร่หลายเหล่านี้ได้

    ที่มา: The Hacker News – Iran-Linked DCHSpy Android Malware Masquerades as VPN Apps to Spy on Dissidents

    การใช้เว็บไซต์ของเราแสดงว่าคุณยินยอมให้เราใช้ คุกกี้ของไฟล์
    เห็นด้วย