ซื้อมาก็แถมเลย! พบมัลแวร์ Keenadu ฝังลึกใน Firmware แท็บเล็ต Android ราคาประหยัด

ปกติเวลาเราพูดถึงเรื่องไวรัสหรือ Malware บนมือถือ เรามักจะโทษพฤติกรรมการใช้งานของผู้ใช้เป็นหลัก ไม่ว่าจะไปโหลดแอปเถื่อน (.APK) หรือกดลิงก์แปลกปลอม แต่ล่าสุดดูเหมือนว่าผู้ใช้บางกลุ่มอาจจะ "ซวย" ตั้งแต่ยังไม่ทันแกะกล่อง เมื่อนักวิจัยความปลอดภัยค้นพบว่ามีแท็บเล็ต Android บางรุ่นแอบยัดไส้ "ของแถม" ที่ไม่มีใครอยากได้มาให้ตั้งแต่โรงงาน

รายงานจาก Kaspersky เปิดเผยการค้นพบ Backdoor (ประตูหลังสำหรับเจาะระบบ) ตัวใหม่ที่มีชื่อว่า Keenadu ซึ่งความน่ากลัวของมันคือไม่ได้มาในรูปแบบแอปพลิเคชันที่เราเผลอไปโหลดมา แต่ถูกฝังมาในระดับ Firmware ของตัวเครื่องตั้งแต่ขั้นตอนการผลิตเลยทีเดียว พูดง่าย ๆ คือต่อให้ซื้อเครื่องมาใหม่แกะกล่อง เปิดเครื่องปุ๊บก็โดนแฮกปั๊บ โดยไม่ต้องทำอะไรผิดพลาดเลยแม้แต่นิดเดียว

การทำงานของ Keenadu นั้นถือว่าร้ายลึก เพราะมันจะแทรกตัวเข้าไปในกระบวนการที่เรียกว่า Zygote (กระบวนการหลักของ Android ที่ทำหน้าที่เตรียมพร้อมสำหรับเปิดแอปอื่น ๆ ทั้งหมด) ทำให้แฮกเกอร์สามารถเข้าถึงและควบคุมระบบได้แทบจะเบ็ดเสร็จ ไม่ว่าจะเป็นการดักจับข้อมูล สั่งติดตั้งแอปขยะเพื่อปั่นยอดโฆษณา หรือแม้แต่เปลี่ยนหน้าผลการค้นหาใน Browser ให้เป็นไปตามที่พวกมันต้องการ

ตัวอย่างที่ชัดเจนที่สุดที่ถูกระบุชื่อคือแท็บเล็ตราคาประหยัดรุ่น Alldocube iPlay 50 mini Pro ซึ่งจากการตรวจสอบ Firmware Image ทุกเวอร์ชัน พบว่ามีการฝัง Keenadu มาให้ครบถ้วน แถมยังมีลายเซ็นดิจิทัลถูกต้อง ซึ่งชี้ชัดว่าเป็นปัญหาจากกระบวนการผลิต (Supply-chain Compromise) ไม่ใช่การถูกแอบแก้ไฟล์ทีหลัง โดยตอนนี้พบผู้เสียหายแล้วกว่า 13,000 ราย กระจายตัวอยู่ในรัสเซีย, ญี่ปุ่น และบราซิล เป็นหลัก

อย่างไรก็ตาม ทาง Google ก็ไม่ได้นิ่งนอนใจ ออกมาชี้แจงว่าระบบ Google Play Protect ที่ติดมากับเครื่องที่มี Google Mobile Services (GMS) สามารถตรวจจับและป้องกันมัลแวร์ Keenadu เวอร์ชันที่รู้จักได้อยู่แล้ว ดังนั้นใครที่ใช้เครื่องที่มีมาตรฐาน GMS ก็น่าจะเบาใจได้เปราะหนึ่ง แต่สำหรับใครที่ชอบลองของกับแท็บเล็ตแบรนด์แปลก ๆ ราคาถูกมาก ๆ อาจจะต้องระวังตัวเป็นพิเศษ เพราะของถูกและดีอาจจะมี แต่ของถูกและปลอดภัย 100% อาจจะหายากหน่อยในยุคนี้