นักวิจัยจาก Doctor Web เปิดเผยว่าโทรศัพท์ Android
ราคาถูกจากจีนหลายรุ่นถูกพบว่ามีการฝังมัลแวร์มาตั้งแต่ขั้นตอนการผลิต โดยเฉพาะแอปพลิเคชัน WhatsApp และ
Telegram เวอร์ชันดัดแปลง (trojanized) ซึ่งภายในแอปแฝงมัลแวร์ประเภท crypto clippers
ที่สามารถเปลี่ยนที่อยู่กระเป๋าเงินดิจิทัลที่ผู้ใช้คัดลอก (clipboard) ให้เป็นของผู้โจมตีโดยอัตโนมัติ
อุปกรณ์เหล่านี้มักใช้ชื่อรุ่นที่เลียนแบบแบรนด์ดัง เช่น S23 Ultra, Note 13 Pro และ P70 Ultra
แต่ภายในกลับใช้ฮาร์ดแวร์ที่มีคุณภาพต่ำกว่าที่ระบุไว้ พร้อมทั้งปลอมแปลงข้อมูลระบบผ่านเครื่องมือ เช่น LSPatch
และ spoofed system apps เพื่อให้แสดงว่าเป็น Android 14 ทั้งที่ใช้ Android 12 ที่ถูกดัดแปลง
โดยประมาณหนึ่งในสามของอุปกรณ์เหล่านี้ผลิตภายใต้แบรนด์ SHOWJI
มัลแวร์ที่ฝังอยู่ในแอปเหล่านี้มีความสามารถในการดักจับข้อมูลการสนทนา แทรกแซงกระบวนการอัปเดตระบบ
เปลี่ยนข้อความที่มีที่อยู่ wallet ภายในแอป รวมถึงสแกนหา mnemonic phrase
ที่อาจถูกบันทึกไว้ในรูปภาพภายในเครื่อง ซึ่งสามารถนำไปใช้โจรกรรมคริปโตทั้งหมดของผู้ใช้งาน
มัลแวร์นี้ถูกระบุในฐานข้อมูลของ Doctor Web ว่า “Shibai” โดยอาศัยโครงสร้าง C2 infrastructure มากกว่า 60
เซิร์ฟเวอร์ และกว่า 30 โดเมนในการแพร่กระจาย ข้อมูลจากรายงานระบุว่า wallet
บางรายการของกลุ่มผู้โจมตีสามารถทำรายได้สูงถึง 1 ล้านดอลลาร์สหรัฐฯ ภายในระยะเวลาเพียง 2 ปี
แม้การโจมตีในลักษณะนี้ไม่ใช่ครั้งแรก โดยก่อนหน้านี้เคยมีรายงานจาก G Data, Bluebox และ Palo Alto
Networks เกี่ยวกับมัลแวร์ที่ฝังมากับสมาร์ตโฟนตั้งแต่ขั้นตอนการผลิต โดยเฉพาะในแบรนด์จีน เช่น Coolpad,
Xiaomi, Huawei, Lenovo และอีกหลายราย ซึ่งตอกย้ำว่า ปัญหา pre-installed malware
บนโทรศัพท์ยังคงเป็นความเสี่ยงระดับสูงสำหรับผู้ใช้งานทั่วไปทั่วโลก
Tag: #เตือนภัยออนไลน์ #มัลแวร์ #Android #WhatsApp #Telegram #คริปโต
ที่มา :
https://www.thaicert.or.th/2025/04/18/%e0%b8%9e%e0%b8%9a%e0%b9%82%e0%b8%9
7%e0%b8%a3%e0%b8%a8%e0%b8%b1%e0%b8%9e%e0%b8%97%e0%b9%8c-
android-
%e0%b8%a3%e0%b8%b2%e0%b8%84%e0%b8%b2%e0%b8%96%e0%b8%b9%e0%b8
%81%e0%b8%88%e0%b8%b2%e0%b8%81%e0%b8%88/
