สรุปสั้น

ทีมวิจัย Satori Threat Intelligence จากบริษัท HUMAN เปิดเผยปฏิบัติการ ad fraud ขนาดใหญ่บน Android ที่ใช้ชื่อว่า Trapdoor ซึ่งประกอบด้วยแอปอันตราย 455 ตัวและโดเมน command-and-control (C2) จำนวน 183 โดเมน สร้าง bid requests ปลอมถึง 659 ล้านครั้งต่อวัน ผู้ใช้จะดาวน์โหลดแอปที่ดูเหมือนเครื่องมือทั่วไป เช่น PDF viewer หรือแอปทำความสะอาดเครื่อง แต่แอปเหล่านี้จะบังคับให้ติดตั้งแอปเพิ่มเติม ซึ่งจะเปิด WebView ซ่อนอยู่เบื้องหลังเพื่อเรียกโฆษณาและสร้างรายได้ให้ผู้โจมตีโดยที่ผู้ใช้ไม่รู้ตัว

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 19 พฤษภาคม พ.ศ. 2569 ว่า นักวิจัยด้านความปลอดภัยจากทีม Satori Threat Intelligence ของบริษัท HUMAN ได้เปิดเผยรายละเอียดของปฏิบัติการ ad fraud และ malvertising รูปแบบใหม่ที่เรียกว่า Trapdoor ซึ่งมุ่งเป้าไปที่ผู้ใช้อุปกรณ์ Android

นักวิจัย Louisa Abel, Ryan Joye, João Marques, João Santos และ Adam Sell อธิบายว่า ผู้ใช้จะดาวน์โหลดแอปที่ผู้โจมตีเป็นเจ้าของโดยไม่รู้ตัว ซึ่งมักเป็นแอปประเภทยูทิลิตี้ เช่น PDF viewer หรือเครื่องมือทำความสะอาดอุปกรณ์ แอปเหล่านี้จะเปิดแคมเปญ malvertising ที่บังคับให้ผู้ใช้ดาวน์โหลดแอปเพิ่มเติมของผู้โจมตี จากนั้นแอปตัวที่สองจะเปิด WebView ซ่อน โหลดโดเมน HTML5 ของผู้โจมตี และเรียกโฆษณาเพื่อสร้างรายได้

HUMAN ระบุว่าระบบนี้เป็นแบบ self-sustaining คือ การติดตั้งแอปตัวแรกจะนำไปสู่การติดตั้งแอปเพิ่มเติมเรื่อย ๆ สร้างเครือข่ายการฉ้อโกงโฆษณาแบบอัตโนมัติที่แพร่กระจายตัวเองได้ โครงสร้างพื้นฐานของแคมเปญครอบคลุมแอป 455 ตัว โดเมน C2 จำนวน 183 โดเมน และสร้าง bid requests ปลอม 659 ล้านครั้งต่อวัน

วิธีการโจมตี

Trapdoor ทำงานแบบหลายขั้นตอน (multi-stage) โดยเริ่มจากแอปยูทิลิตี้ที่ดูไม่เป็นอันตราย เมื่อติดตั้งแล้วแอปจะแสดงโฆษณาแบบ malvertising ที่ออกแบบให้ดูเหมือนแจ้งเตือนระบบ หลอกให้ผู้ใช้ติดตั้งแอปเพิ่มเติม แอปตัวที่สองจะเปิด hidden WebView ในพื้นหลัง โหลดเว็บเพจที่ผู้โจมตีควบคุม แล้วเรียก ad requests ซ้ำ ๆ โดยผู้ใช้ไม่เห็นโฆษณาเลย ทำให้ผู้โจมตีได้รับรายได้จากการแสดงผลโฆษณาปลอม

โดเมน C2 ทั้ง 183 โดเมนทำหน้าที่ควบคุมพฤติกรรมของแอป รับคำสั่งว่าจะโหลดโฆษณาจากเครือข่ายใด ความถี่เท่าไหร่ และจะแสดงผลอย่างไร ระบบทั้งหมดออกแบบมาให้หลบเลี่ยงการตรวจจับของ Google Play Protect

ผลกระทบต่อไทย

ผู้ใช้ Android ในไทยมีความเสี่ยงสูง เนื่องจากแอปประเภทยูทิลิตี้อย่าง PDF viewer และเครื่องมือทำความสะอาดเครื่องเป็นแอปที่คนไทยนิยมดาวน์โหลดมาก นอกจากจะทำให้เครื่องช้าลงและสิ้นเปลืองแบตเตอรี่จากการทำงานเบื้องหลังแล้ว ยังอาจทำให้ผู้ใช้เสียค่าอินเทอร์เน็ตจากการเรียกโฆษณาซ้ำ ๆ โดยไม่รู้ตัว ผู้พัฒนาแอปและผู้โฆษณาในไทยก็ได้รับผลกระทบ เพราะ bid requests ปลอมทำให้สูญเสียงบโฆษณาโดยเปล่าประโยชน์

คำแนะนำ

  1. ตรวจสอบแอปที่ติดตั้งบนอุปกรณ์ Android หากพบแอปยูทิลิตี้ที่ไม่คุ้นเคยหรือติดตั้งจากโฆษณา ให้ถอนการติดตั้งทันที
  2. ดาวน์โหลดแอปจาก Google Play Store เท่านั้น และตรวจสอบรีวิวรวมถึงผู้พัฒนาก่อนติดตั้ง
  3. เปิดใช้งาน Google Play Protect และอัปเดตให้เป็นเวอร์ชันล่าสุดเสมอ
  4. สังเกตอาการผิดปกติ เช่น แบตเตอรี่หมดเร็วกว่าปกติ อุปกรณ์ร้อนผิดปกติ หรือใช้ข้อมูลมือถือสูงผิดปกติ
  5. ผู้พัฒนาแอปควรตรวจสอบ SDK โฆษณาที่ฝังอยู่และบล็อก bid fraud ใน backend

แหล่งอ้างอิง