144/68 (IT) ประจำวันศุกร์ที่ 18 เมษายน 2568
นักวิจัยจาก Doctor Web เปิดเผยว่าโทรศัพท์ Android ราคาถูกจากจีนหลายรุ่นถูกพบว่ามีการฝังมัลแวร์มาตั้งแต่ขั้นตอนการผลิต โดยเฉพาะแอปพลิเคชัน WhatsApp และ Telegram เวอร์ชันดัดแปลง (trojanized) ซึ่งภายในแอปแฝงมัลแวร์ประเภท crypto clippers ที่สามารถเปลี่ยนที่อยู่กระเป๋าเงินดิจิทัลที่ผู้ใช้คัดลอก (clipboard) ให้เป็นของผู้โจมตีโดยอัตโนมัติ อุปกรณ์เหล่านี้มักใช้ชื่อรุ่นที่เลียนแบบแบรนด์ดัง เช่น S23 Ultra, Note 13 Pro และ P70 Ultra แต่ภายในกลับใช้ฮาร์ดแวร์ที่มีคุณภาพต่ำกว่าที่ระบุไว้ พร้อมทั้งปลอมแปลงข้อมูลระบบผ่านเครื่องมือ เช่น LSPatch และ spoofed system apps เพื่อให้แสดงว่าเป็น Android 14 ทั้งที่ใช้ Android 12 ที่ถูกดัดแปลง โดยประมาณหนึ่งในสามของอุปกรณ์เหล่านี้ผลิตภายใต้แบรนด์ SHOWJI
มัลแวร์ที่ฝังอยู่ในแอปเหล่านี้มีความสามารถในการดักจับข้อมูลการสนทนา แทรกแซงกระบวนการอัปเดตระบบ เปลี่ยนข้อความที่มีที่อยู่ wallet ภายในแอป รวมถึงสแกนหา mnemonic phrase ที่อาจถูกบันทึกไว้ในรูปภาพภายในเครื่อง ซึ่งสามารถนำไปใช้โจรกรรมคริปโตทั้งหมดของผู้ใช้งาน มัลแวร์นี้ถูกระบุในฐานข้อมูลของ Doctor Web ว่า “Shibai” โดยอาศัยโครงสร้าง C2 infrastructure มากกว่า 60 เซิร์ฟเวอร์ และกว่า 30 โดเมนในการแพร่กระจาย ข้อมูลจากรายงานระบุว่า wallet บางรายการของกลุ่มผู้โจมตีสามารถทำรายได้สูงถึง 1 ล้านดอลลาร์สหรัฐฯ ภายในระยะเวลาเพียง 2 ปี
แม้การโจมตีในลักษณะนี้ไม่ใช่ครั้งแรก โดยก่อนหน้านี้เคยมีรายงานจาก G Data, Bluebox และ Palo Alto Networks เกี่ยวกับมัลแวร์ที่ฝังมากับสมาร์ตโฟนตั้งแต่ขั้นตอนการผลิต โดยเฉพาะในแบรนด์จีน เช่น Coolpad, Xiaomi, Huawei, Lenovo และอีกหลายราย ซึ่งตอกย้ำว่า ปัญหา pre-installed malware บนโทรศัพท์ยังคงเป็นความเสี่ยงระดับสูงสำหรับผู้ใช้งานทั่วไปทั่วโลก
