บริษัทความปลอดภัย Check Point Security ออกมาเปิดโปงขบวนการอาชญากรรมไซเบอร์ขนาดใหญ่ในจีน ที่กระจายมัลแวร์ HummingBad ส่งผลกระทบในวงกว้าง กวาดรายได้จากค่าโฆษณาที่ฝังในเครื่องของผู้ใช้ไม่ต่ำกว่าเดือนละ 300,000 ดอลลาร์ (10 ล้านบาท)

Check Point สืบข้อมูลและพบว่ามัลแวร์ HummingBad มีต้นตอมาจากบริษัท Yingmob ในเมืองฉงชิง (Chongqing) เมืองใหญ่ทางภาคตะวันตกเฉียงใต้ของจีน บริษัท Yingmob ทำตัวเป็นผู้ให้บริการเซิร์ฟเวอร์โฆษณาสำหรับอุปกรณ์พกพา และก่อนหน้านี้เคยมีข่าวว่า Yingmob เป็นผู้สร้างมัลแวร์ Yispecter บน iOS ด้วย

Check Point ระบุว่า Yingmob เป็นบริษัทขนาดใหญ่ มีธุรกิจด้านโฆษณาที่ถูกกฎหมายรวมอยู่ด้วย ส่วนฝ่ายที่สร้างมัลแวร์ชื่อว่า Development Team for Overseas Platform มีพนักงาน 25 คน แบ่งเป็น 4 ทีมย่อย มีผลงาน 6 ชิ้นที่รวมกันเป็นแคมเปญการโจมตี HummingBad

พฤติกรรมของ HummingBad

จากการวิเคราะห์พบว่าระบบวิเคราะห์และตามรอยของทีม HummingBad ถูกใช้กับแอพเกือบ 200 ตัว (ในจำนวนนี้มี 25% ที่ฝังมัลแวร์) แอพเหล่านี้ถูกติดตั้งในอุปกรณ์ Android กว่า 85 ล้านเครื่อง แคมเปญนี้เริ่มต้นมาตั้งแต่เดือนสิงหาคม 2015 และยังสืบเนื่องมาจนปัจจุบัน

รูปแบบการโจมตีของ HummingBad มีหลายช่องทาง ทั้งการหลอกให้ดาวน์โหลดแอพ แล้วเจาะระบบปฏิบัติการผ่านช่องโหว่ที่รู้จักเพื่อเข้าถึง root แต่ถ้าไม่สำเร็จ แอพจะแจ้งเตือนหลอกๆ ว่ามีอัพเดตตัวระบบปฏิบัติการ เพื่อหลอกให้ผู้ใช้อนุญาตให้แอพเข้าถึงสิทธิต่างๆ ของระบบ

อุปกรณ์ที่โดนเจาะสำเร็จจะแสดงโฆษณาเพื่อหลอกให้คนคลิก และสร้างรายได้กลับไปยัง Yingmob อัตราการคลิกสูงถึง 12.5% ของการแสดงโฆษณาทั้งหมด และมีการคลิกโฆษณารวม 2.5 ล้านครั้งต่อวัน คิดเป็นรายได้ประมาณวันละ 10,000 ดอลลาร์ หรือประมาณ 3.5 แสนบาท

ประเมินผู้ได้รับผลกระทบ

Check Point ประเมินว่ามีผู้ใช้ประมาณ 10 ล้านรายที่ใช้งานแอพฝังมัลแวร์เหล่านี้ ประเทศที่กระทบมากที่สุดคือจีน (1.6 ล้านราย) อินเดีย (1.35 ล้านราย) ส่วนผู้ใช้ในไทยติดอันดับ 9 มีผู้ได้รับผลกระทบ 2.6 แสนราย

เหยื่อที่ติด HummingBad ส่วนใหญ่ (50%) ใช้ Android KitKat ตามด้วย 40% ที่ใช้ Jelly Bean ส่วน Lollipop มีติด 7% และ Marshmallow 1%

Check Point ระบุว่า Yingmob ถือเป็นขบวนการอาชญากรรมรายแรกที่จัดโครงสร้างองค์กรอย่างเข้มแข็ง และมีรายได้เข้ามาหล่อเลี้ยงตัวเองได้อย่างต่อเนื่อง รูปแบบขบวนการอาชญากรรมแบบนี้จะกลายเป็นต้นแบบให้หน่วยงานอื่นๆ ลอกไปทำตามได้เช่นกัน

ที่มา - Check Point Security (PDF), Check Point Blog