แอปพลิเคชันที่สัญญาว่าจะแก้ปัญหาการเชื่อมต่ออินเทอร์เน็ตบนมือถือนั้นมีความเสี่ยงที่สูงกว่า การติดตั้งนำไปสู่ซอฟต์แวร์ที่สามารถตรวจสอบทุกสิ่งที่เกิดขึ้นบนโทรศัพท์มือถือได้
นักวิจัยจากองค์กร Osservatorio Nessuno ของอิตาลี ระบุมัลแวร์ที่เรียกว่า Morpheus โปรแกรมนำเสนอตัวเองเป็นการอัปเดตระบบหรือการกำหนดค่าเครือข่าย และสามารถเข้าถึงหน้าจอ ข้อความ เสียง วิดีโอ และแม้แต่เชื่อมโยงอุปกรณ์เพิ่มเติมเข้ากับ WhatsApp โดยที่เจ้าของไม่สังเกตเห็นในทันที คดีนี้ได้รับความสนใจในสัปดาห์นี้ภายหลังการเปิดเผยรายงานโดยละเอียด
การโจมตีเริ่มต้นด้วยการหยุดชะงักของบริการอย่างไร
ผู้ให้บริการโทรศัพท์มีส่วนร่วมในขั้นตอนแรกในบางกรณีที่ลงทะเบียนไว้ พวกเขาตัดการเข้าถึงอินเทอร์เน็ตบนมือถือของเป้าหมาย หลังจากนั้นไม่นาน ข้อความ SMS มาถึงพร้อมกับลิงก์ไปยังเว็บไซต์ที่จำลองความช่วยเหลือจากผู้ให้บริการ เช่น Fastweb ในอิตาลี ผู้ใช้ที่ไม่มีการเชื่อมต่อมีแนวโน้มที่จะปฏิบัติตามคำแนะนำและติดตั้งแอปพลิเคชันที่แนะนำ
แอปเริ่มต้นที่เรียกว่า dropper มีชื่อแพ็คเกจเป็น com.android.cored ใช้เพื่อติดตั้งขั้นตอนที่สองเท่านั้น เอเจนต์หลักที่มีแพ็คเกจ com.android.core และเวอร์ชัน 2025.3.0 กระบวนการทั้งหมดใช้ประโยชน์จากความไว้วางใจของผู้ใช้ในการอัปเดตระบบ
- ตัวหยดจะตรวจสอบว่าเอเจนต์ได้รับการติดตั้งแล้วหรือไม่
- คัดลอกไฟล์ APK ของตัวแทนจากทรัพยากรภายใน
- ขอสิทธิ์ในการติดตั้งแอปภายนอก
- ทำการติดตั้งมัลแวร์เต็มรูปแบบโดยอัตโนมัติ
แนวทางนี้หลีกเลี่ยงการหาช่องโหว่ที่ซับซ้อนและอาศัยวิศวกรรมทางสังคม ซึ่งนักวิจัยจัดว่าเป็นสปายแวร์ราคาประหยัด
คุณสมบัติของ Morpheus มีมากกว่าพื้นฐาน
หลังการติดตั้ง เอเจนต์จะเปิดใช้งานบริการการเข้าถึงของ Android เครื่องมือนี้สร้างขึ้นเพื่อช่วยผู้พิการ โดยช่วยให้คุณสามารถอ่านหน้าจอ จำลองการสัมผัส และโต้ตอบกับแอปพลิเคชันอื่นๆ ได้ Morpheus อ้างว่าเป็นเครื่องมือการเข้าถึงที่ถูกต้องตามกฎหมายในการรับสิทธิ์เหล่านี้
ซอฟต์แวร์ยังขอสิทธิ์ผู้ดูแลระบบอุปกรณ์และเปิดใช้งานการดีบักไร้สายผ่าน ADB ด้วยเหตุนี้ ระบบจึงรันคำสั่งเชลล์เพื่อให้สิทธิ์ที่เป็นอันตรายทั้งหมดโดยไม่ต้องแจ้งให้ทราบ โดยจะปิดใช้งานตัวบ่งชี้กล้องและไมโครโฟน ป้องกันไม่ให้โปรแกรมป้องกันไวรัสทำงานอย่างถูกต้อง และปรับการตั้งค่าแบตเตอรี่เพื่อให้ยังคงทำงานอยู่ในเบื้องหลัง
ความสามารถหลักที่ได้รับการยืนยันในรายงาน:
- ภาพหน้าจอแบบเรียลไทม์
- การบันทึกเสียงและวิดีโอ
- การอ่านการแจ้งเตือนและเนื้อหาแอป
- การเชื่อมโยงอุปกรณ์พิเศษบน WhatsApp ด้วยการปลอมแปลงข้อมูลไบโอเมตริกซ์
- ปิดการใช้งานไอคอนความเป็นส่วนตัวของระบบ
- การดำเนินการคำสั่ง ADB เพื่อยกระดับสิทธิ์
- ความคงอยู่หลังจากรีสตาร์ทโทรศัพท์มือถือ
- รองรับ Android รุ่นและภาษาหลายภาษา
ในระหว่างกระบวนการ มัลแวร์แสดงหน้าจอการอัพเดตและรีบูตปลอม ในขณะที่ผู้ใช้เห็นความคืบหน้าจำลอง แอปจะดำเนินการในเบื้องหลัง รวมถึงการเปิด WhatsApp เพื่อเพิ่มอุปกรณ์ที่ควบคุมโดยผู้โจมตี
ประสานงานกับบริษัทสกัดกั้นทางกฎหมายของอิตาลี
โครงสร้างพื้นฐาน Morpheus ชี้ไปที่ IPS Intelligence ซึ่งเป็นบริษัทสัญชาติอิตาลีที่มีประสบการณ์มากกว่า 30 ปีในด้านเทคโนโลยีการสกัดกั้นทางกฎหมายสำหรับกองกำลังตำรวจและหน่วยงานภาครัฐ บริษัทดำเนินงานในกว่า 20 ประเทศและมีลูกค้าเป็นหน่วยงานรักษาความปลอดภัยสาธารณะในอิตาลี
โค้ดของมัลแวร์ประกอบด้วยสำนวนในภาษาอิตาลี รวมถึงการอ้างอิงทางวัฒนธรรมตามแบบฉบับของการพัฒนาอื่นๆ ที่คล้ายคลึงกันในประเทศ นักวิจัยเชื่อมโยงที่อยู่ IP และส่วนประกอบกับโดเมนที่เกี่ยวข้องกับ IPS และบริษัทที่เกี่ยวข้อง เช่น Rever Servicenet และ Iris Telecomunicazioni
ต่างจากสปายแวร์ที่ซับซ้อนกว่าซึ่งใช้ข้อบกพร่องแบบคลิกเป็นศูนย์ Morpheus ต้องการให้ผู้ใช้ดำเนินการ คุณลักษณะนี้ช่วยลดต้นทุนการพัฒนาแต่ยังคงรักษาประสิทธิผลต่อเป้าหมายเฉพาะ โดยเฉพาะอย่างยิ่งในบริบทการเฝ้าระวังที่เป็นเป้าหมาย
มาตรการป้องกันภัยคุกคามประเภทนี้
ผู้เชี่ยวชาญแนะนำข้อควรระวังเกี่ยวกับลิงก์ที่ได้รับทาง SMS ที่ขอให้ติดตั้งแอป การอัปเดต Android และแอปพลิเคชันอย่างเป็นทางการจะต้องมาผ่าน Google Play Store หรือผ่านการกำหนดค่าระบบเสมอ
ผู้ใช้สามารถตรวจสอบการเข้าถึงและสิทธิ์ผู้ดูแลระบบอุปกรณ์ได้ในการตั้งค่า Android แอปที่ต้องการการเข้าถึงหน้าจอกว้างหรือทำงานในพื้นหลังสมควรได้รับความสนใจเป็นพิเศษ การทำให้ระบบทันสมัยอยู่เสมอจะช่วยจำกัดเทคนิคการยกระดับสิทธิ์บางประการ
กรณีดังกล่าวตอกย้ำการอภิปรายเกี่ยวกับการใช้เครื่องมือเฝ้าระวังโดยรัฐบาล และความต้องการความโปร่งใสจากผู้ให้บริการโทรศัพท์ เมื่อผู้ให้บริการโทรศัพท์ขัดจังหวะบริการในลักษณะที่เป็นเป้าหมาย
รายละเอียดทางเทคนิคของตัวแทนหลัก
CoreService ของ Morpheus จัดการการดำเนินการด้านการเข้าถึงในเวิร์กโฟลว์ตามลำดับ หนึ่งในนั้นดูแลการให้สิทธิ์ อีกคนเปิด WhatsApp และจำลองข้อมูลไบโอเมตริกซ์ การซ้อนทับ SYSTEM_ALERT_WINDOW ช่วยให้คุณสามารถวาดอินเทอร์เฟซปลอมที่ด้านบนของแอปใดๆ รวมถึงการบล็อกการสัมผัสหน้าจอชั่วคราวในระหว่างกระบวนการ
คำสั่ง ADB รวมถึงการอนุญาต pm การปรับแต่ง DeviceConfig เพื่อซ่อนตัวบ่งชี้เซ็นเซอร์ และการบล็อกแพ็คเกจป้องกันไวรัสที่รู้จัก สคริปต์ commands.txt จัดระเบียบขั้นตอนเหล่านี้เป็นระยะต่างๆ โดยปรับให้เข้ากับผู้ผลิตเช่น Samsung, Xiaomi และ Oppo
เวอร์ชันที่วิเคราะห์รองรับ ROM และรุ่นหลายตัว ซึ่งบ่งบอกถึงความพยายามในการทำงานบนอุปกรณ์ Android ที่หลากหลายในตลาด