ความปลอดภัยไซเบอร์

Mirax Android RAT: โทรศัพท์ของคุณอาจกลายเป็น Proxy โดยไม่รู้ตัว

15 เมษายน 2569อ่าน 5 นาที

By Marcus Weber — CISSP certified, 12 years in cybersecurity journalism

Mirax Android RAT: โทรศัพท์ของคุณอาจกลายเป็น Proxy โดยไม่รู้ตัว

มัลแวร์ Android ตัวใหม่กำลังใช้โทรศัพท์ของคุณเป็น Proxy

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบภัยคุกคามรูปแบบใหม่ที่ซับซ้อนในชื่อ Mirax Android RAT ซึ่งเป็นโทรจันเพื่อการเข้าถึงระยะไกล (Remote Access Trojan) ที่แพร่กระจายไปยังผู้ใช้งานกว่า 220,000 รายอย่างเงียบๆ ผ่านโฆษณาบนแพลตฟอร์มของ Meta รวมถึง Facebook และ Instagram สิ่งที่ทำให้ Mirax โดดเด่นเป็นพิเศษไม่ใช่แค่ขนาดของการแพร่กระจาย แต่คือสิ่งที่มันทำเมื่อติดตั้งแล้ว นั่นคือการแปลงอุปกรณ์ Android ที่ติดเชื้อให้กลายเป็นโหนดในเครือข่าย SOCKS5 proxy ซึ่งแปลงสมาร์ทโฟนธรรมดาให้กลายเป็นเครื่องมือส่งต่อการรับส่งข้อมูลทางอินเทอร์เน็ตของอาชญากรได้อย่างมีประสิทธิภาพ

หากคุณเคยคลิกโฆษณาบนมือถือแล้วถูกกระตุ้นให้ติดตั้งแอปจากนอก Google Play Store อย่างเป็นทางการ ภัยคุกคามนี้เกี่ยวข้องกับคุณโดยตรง

SOCKS5 Proxy Botnet คืออะไร และเหตุใดอาชญากรจึงสร้างมันขึ้น?

เพื่อทำความเข้าใจว่าทำไม Mirax จึงเป็นอันตราย จำเป็นต้องเข้าใจก่อนว่า SOCKS5 proxy คืออะไร และทำไมจึงมีคุณค่าต่ออาชญากรไซเบอร์

SOCKS5 proxy คือประเภทของตัวกลางรับส่งข้อมูลทางอินเทอร์เน็ตที่ส่งต่อการรับส่งข้อมูลเครือข่ายผ่านอุปกรณ์ตัวกลาง มีการใช้งานที่ถูกต้องตามกฎหมายอยู่ด้วย เช่น ธุรกิจใช้ proxy เพื่อจัดการเครือข่าย และผู้ใช้ที่ให้ความสำคัญกับความเป็นส่วนตัวบางครั้งส่งต่อการรับส่งข้อมูลผ่านเซิร์ฟเวอร์ที่เชื่อถือได้เพื่อปิดบังที่อยู่ IP ของตน SOCKS5 มีความยืดหยุ่นและรวดเร็ว ทำให้ดึงดูดทั้งการใช้งานที่ถูกกฎหมายและการใช้งานในทางที่ผิด

อย่างไรก็ตาม อาชญากรให้คุณค่ากับเครือข่าย proxy ด้วยเหตุผลเฉพาะเจาะจงหนึ่งประการ คือการไม่เปิดเผยตัวตน เมื่อผู้โจมตีส่งต่อกิจกรรมของตนผ่านสมาร์ทโฟนที่ถูกโจมตีหลายพันเครื่อง ตำแหน่งจริงและตัวตนของพวกเขาจะแทบเป็นไปไม่ได้ที่จะติดตาม อุปกรณ์ที่ติดเชื้อแต่ละเครื่องทำหน้าที่เป็นก้าวกระโดด นักสืบที่ติดตามร่องรอยของการโจมตีทางไซเบอร์อาจลงเอยด้วยการชี้ไปที่โทรศัพท์ของบุคคลผู้บริสุทธิ์ในต่างประเทศ แทนที่จะเป็นผู้โจมตีตัวจริง

นี่ยังเป็นเหตุผลที่เครือข่าย proxy บนพื้นฐาน botnet มีมูลค่าทางการค้าในตลาดอาชญากรรม ผู้ดำเนินการสามารถให้เช่าการเข้าถึงเครือข่ายเหล่านี้ มอบกลุ่มที่อยู่ IP ของผู้ใช้ตามบ้านที่หมุนเวียนอย่างต่อเนื่องให้แก่ผู้ไม่ประสงค์ดีรายอื่น ซึ่งดูน่าเชื่อถือกว่าเซิร์ฟเวอร์ในศูนย์ข้อมูลที่ระบบความปลอดภัยมักตั้งค่าสถานะไว้

Mirax RAT ดูเหมือนถูกออกแบบมาเพื่อสร้างโครงสร้างพื้นฐานประเภทนี้โดยเฉพาะ ขณะเดียวกันก็ขโมยข้อมูลส่วนตัวจากอุปกรณ์ที่ติดเชื้อด้วย

Mirax แพร่กระจายผ่านโฆษณาของ Meta ได้อย่างไร

กลไกการส่งมอบของ Mirax เป็นสิ่งที่ควรตรวจสอบอย่างละเอียด เพราะมันใช้ประโยชน์จากสิ่งที่ผู้ใช้ส่วนใหญ่คุ้นเคยไปแล้ว นั่นคือโฆษณาบนโซเชียลมีเดีย

นักวิจัยพบว่า Mirax เข้าถึงเหยื่อกว่า 220,000 รายผ่านโฆษณาที่เป็นอันตรายซึ่งแสดงบนแพลตฟอร์มของ Meta โฆษณาเหล่านี้น่าจะชักจูงผู้ใช้ให้ดาวน์โหลดแอปพลิเคชันจากภายนอก App Store ทางการ ซึ่งเป็นเทคนิคที่เรียกว่า sideloading สถาปัตยกรรมแบบเปิดของ Android อนุญาตให้ผู้ใช้ติดตั้งแอปจากแหล่งบุคคลที่สาม ซึ่งเป็นคุณสมบัติที่ผู้แจกจ่ายมัลแวร์ใช้ประโยชน์อย่างสม่ำเสมอ

การใช้โฆษณาแบบชำระเงินเพื่อแจกจ่ายมัลแวร์สะท้อนให้เห็นถึงการเปลี่ยนแปลงที่กว้างขึ้นในวิธีการดำเนินงานของอาชญากรไซเบอร์ แทนที่จะพึ่งพาเพียงอีเมลฟิชชิ่งหรือเว็บไซต์ที่ถูกโจมตี ผู้ก่อภัยคุกคามกำลังลงทุนในโครงสร้างพื้นฐานโฆษณาที่ถูกกฎหมายเพื่อเข้าถึงผู้ชมจำนวนมากได้อย่างรวดเร็วและน่าเชื่อถือ โฆษณาที่ออกแบบมาอย่างดีสามารถดูน่าเชื่อถือได้ โดยเฉพาะเมื่อปรากฏควบคู่ไปกับเนื้อหาจากเพื่อนและครอบครัว

Meta มีระบบตรวจจับและลบโฆษณาที่เป็นอันตราย แต่เนื่องจากขนาดของแพลตฟอร์มโฆษณาของ Meta บางแคมเปญก็หลุดรอดไปได้อย่างหลีกเลี่ยงไม่ได้ก่อนที่จะถูกตรวจจับ

สิ่งนี้หมายความว่าอะไรสำหรับคุณ

หากคุณใช้อุปกรณ์ Android และมีปฏิสัมพันธ์กับโฆษณาบนโซเชียลมีเดียเป็นประจำ แคมเปญ Mirax เป็นการเตือนให้ตระหนักถึงความเสี่ยงเชิงปฏิบัติหลายประการโดยตรง

ประการแรก อุปกรณ์ของคุณอาจถูกโจมตีโดยที่คุณไม่รู้ตัวและถูกใช้เพื่ออำนวยความสะดวกในกิจกรรมทางอาชญากรรม การเป็นส่วนหนึ่งของ botnet ไม่จำเป็นต้องทำให้เกิดอาการที่ชัดเจน โทรศัพท์ของคุณอาจร้อนขึ้นเล็กน้อยหรือแบตเตอรี่หมดเร็วขึ้น แต่ผู้ใช้หลายคนคงไม่สังเกตเห็นหรืออาจโทษสาเหตุอื่น

ประการที่สอง เป้าหมายที่เครือข่าย proxy ของอาชญากรให้บริการ โดยเฉพาะการปิดบังการรับส่งข้อมูลและการซ่อนตัวตนทางออนไลน์ เป็นเป้าหมายเดียวกันกับที่ผู้บริโภคแสวงหาอย่างถูกกฎหมายผ่าน VPN และเครื่องมือความเป็นส่วนตัว ความแตกต่างที่สำคัญคือความยินยอมและความปลอดภัย VPN ที่ถูกกฎหมายส่งต่อการรับส่งข้อมูลของคุณเองผ่านเซิร์ฟเวอร์ที่เข้ารหัสและเชื่อถือได้ซึ่งคุณเลือกเอง ส่วน botnet ส่งต่อการรับส่งข้อมูลทางอาชญากรรมของคนอื่นผ่านอุปกรณ์ของคุณโดยที่คุณไม่รู้ตัว ซึ่งทำให้คุณเสี่ยงต่อการตรวจสอบทางกฎหมายและสิ้นเปลืองแบนด์วิดท์และข้อมูลของคุณ

ประการที่สาม การพบเจอโฆษณาสำหรับแอปพลิเคชันบนแพลตฟอร์มโซเชียลมีเดียไม่ได้หมายความว่าแอปพลิเคชันเหล่านั้นปลอดภัย แหล่งที่มาของโฆษณาไม่รับประกันความถูกต้องตามกฎหมายของสิ่งที่โฆษณาอยู่

ขั้นตอนการดำเนินการเพื่อปกป้องอุปกรณ์ Android ของคุณ

การปกป้องตัวเองจากภัยคุกคามอย่าง Mirax ไม่จำเป็นต้องมีความเชี่ยวชาญด้านเทคนิค แต่ต้องอาศัยนิสัยที่สม่ำเสมอ

ติดตั้งแอปจาก Google Play Store เท่านั้น หลีกเลี่ยงการ sideload แอปพลิเคชันที่ถูกกระตุ้นจากโฆษณา ลิงก์ในข้อความ หรือเว็บไซต์บุคคลที่สาม ไม่ว่าจะดูน่าเชื่อถือเพียงใด
ตรวจสอบสิทธิ์การเข้าถึงของแอปอย่างละเอียด แอปไฟฉายไม่จำเป็นต้องเข้าถึงรายชื่อผู้ติดต่อของคุณหรือมีความสามารถในการเรียกใช้บริการเครือข่ายเบื้องหลัง สิทธิ์การเข้าถึงที่มากเกินไปถือเป็นสัญญาณเตือน
อัปเดตระบบปฏิบัติการและแอปของคุณให้ทันสมัยอยู่เสมอ แพตช์ความปลอดภัยจะปิดช่องโหว่ที่มัลแวร์ใช้ประโยชน์
ใช้ซอฟต์แวร์ความปลอดภัยมือถือที่มีชื่อเสียง แอปพลิเคชันด้านความปลอดภัยที่ได้รับการยอมรับหลายตัวสามารถตรวจจับมัลแวร์ที่รู้จักและแจ้งเตือนพฤติกรรมที่น่าสงสัยได้
ระวังโฆษณาบนมือถือที่ส่งเสริมการดาวน์โหลดแอป หากโฆษณากำลังผลักดันให้คุณติดตั้งบางอย่าง ให้ตรวจสอบแอปผ่านช่องทางทางการก่อนดำเนินการต่อ
ติดตามการใช้งานข้อมูลของคุณ การเพิ่มขึ้นอย่างผิดปกติของการใช้งานข้อมูลเบื้องหลังอาจบ่งชี้ว่าอุปกรณ์ของคุณกำลังถูกใช้เพื่อวัตถุประสงค์ที่คุณไม่ได้อนุญาต

Mirax Android RAT เป็นตัวอย่างที่ชัดเจนว่าการดำเนินงานทางอาชญากรรมได้พัฒนาเติบโตขึ้นเพื่อใช้ประโยชน์จากนิสัยดิจิทัลในชีวิตประจำวันในวงกว้าง การทำความเข้าใจวิธีการทำงานของการโจมตีเหล่านี้เป็นก้าวแรกสู่การตัดสินใจที่จะรักษาอุปกรณ์ ข้อมูล และการเชื่อมต่ออินเทอร์เน็ตของคุณให้เป็นของคุณอย่างแท้จริง

// คำถามที่พบบ่อย

Mirax Android RAT คืออะไร?

Mirax คือโทรจันเพื่อการเข้าถึงระยะไกล (Remote Access Trojan) ที่มุ่งเป้าไปที่อุปกรณ์ Android โดยแปลงสมาร์ทโฟนที่ติดเชื้อให้กลายเป็นโหนดในเครือข่าย SOCKS5 proxy มันเข้าถึงผู้ใช้งานกว่า 220,000 รายผ่านโฆษณาที่เป็นอันตรายบนแพลตฟอร์มของ Meta รวมถึง Facebook และ Instagram

Mirax แพร่กระจายไปยังเหยื่อได้อย่างไร?

Mirax แพร่กระจายผ่านโฆษณาที่เป็นอันตรายซึ่งแสดงบนแพลตฟอร์มของ Meta ที่ชักจูงผู้ใช้ให้ดาวน์โหลดแอปจากภายนอก Google Play Store อย่างเป็นทางการ ซึ่งเป็นเทคนิคที่เรียกว่า sideloading สถาปัตยกรรมแบบเปิดของ Android อนุญาตให้ติดตั้งแอปบุคคลที่สามประเภทนี้ได้ ซึ่งผู้แจกจ่ายมัลแวร์ใช้ประโยชน์จากสิ่งนี้

Mirax ทำอะไรเมื่อติดเชื้อในอุปกรณ์แล้ว?

เมื่อติดตั้งแล้ว Mirax จะแปลงอุปกรณ์ Android ที่ติดเชื้อให้กลายเป็นโหนดในเครือข่าย SOCKS5 proxy โดยส่งต่อการรับส่งข้อมูลทางอินเทอร์เน็ตของอาชญากรผ่านโทรศัพท์ของเหยื่อ นอกจากนี้ยังขโมยข้อมูลส่วนตัวจากอุปกรณ์ที่ติดเชื้ออีกด้วย

เหตุใดอาชญากรจึงต้องการสร้างเครือข่าย proxy แบบที่ Mirax สร้างขึ้น?

อาชญากรใช้เครือข่าย proxy เพื่อคงความไม่เปิดเผยตัวตน เนื่องจากการส่งต่อกิจกรรมผ่านสมาร์ทโฟนที่ถูกโจมตีหลายพันเครื่องทำให้ตำแหน่งจริงของพวกเขาแทบเป็นไปไม่ได้ที่จะติดตาม พวกเขายังสามารถให้เช่าการเข้าถึงเครือข่ายเหล่านี้ มอบกลุ่มที่อยู่ IP ของผู้ใช้ตามบ้านให้แก่ผู้ไม่ประสงค์ดีรายอื่น ซึ่งดูน่าเชื่อถือต่อระบบความปลอดภัย

ใครบ้างที่มีความเสี่ยงจาก Mirax Android RAT?

ใครก็ตามที่ใช้อุปกรณ์ Android และเคยคลิกโฆษณาบนมือถือที่กระตุ้นให้ติดตั้งแอปจากภายนอก Google Play Store อย่างเป็นทางการมีความเสี่ยงที่อาจเกิดขึ้น มัลแวร์มุ่งเป้าไปที่ผู้ใช้ที่ทำการ sideload แอปพลิเคชันจากแหล่งบุคคลที่สามโดยเฉพาะ