สรุปสั้น

บริษัท ESET จากสโลวาเกียค้นพบสปายแวร์ Android สายพันธุ์ใหม่ชื่อ Asin ที่มุ่งเป้าผู้ใช้ที่พูดภาษาอาหรับ โดยแพร่กระจายผ่านแอปปลอม 5 ตัวที่อ้างตัวเป็นแหล่งข่าวรัฐบาล, แผนที่สงคราม, เครื่องอ่าน PDF ปลอดภัย และแอปข่าวสงคราม แอปเหล่านี้ถูกโปรโมตผ่านเพจ Facebook และช่อง Telegram ที่สร้างขึ้นเฉพาะ

ESET ตั้งข้อสังเกตว่า 3 ใน 5 แอปปลอม ได้แก่ GovLens, WarMap และ Syria Defense Map ดูเหมือนจะออกแบบมาสำหรับผู้ที่สนใจการสืบสวนข้อมูลโอเพนซอร์ส ทำให้สันนิษฐานได้ว่าแคมเปญนี้อาจมุ่งเป้านักข่าวหรือนักวิจัย OSINT ที่พูดภาษาอาหรับโดยเฉพาะ ยังไม่ทราบว่ากลุ่มใดเป็นผู้ดำเนินการ

รายละเอียดข่าว

เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 5 มิถุนายน พ.ศ. 2569 อ้างอิงรายงานจากบริษัท ESET ว่าตรวจพบสปายแวร์ Android ชื่อ Asin เป็นครั้งแรกในแคมเปญหลายระลอกเมื่อต้นปี 2568 แต่ละระลอกใช้เว็บไซต์แตกต่างกันเพื่อแจกจ่ายแอปอันตราย เว็บไซต์ที่ระบุได้ ได้แก่ govlens[.]net ซึ่งปลอมตัวเป็นแหล่งข่าวรัฐบาล (จดทะเบียน 27 พฤษภาคม 2568), pdf-reader[.]help ปลอมเป็นโปรแกรมแก้ไข PDF (29 พฤษภาคม 2568) และ live-war-map[.]com อ้างว่าอัปเดตเหตุการณ์ทางทหาร (20 มกราคม 2568) ESET พบ artifact ที่เกี่ยวข้องกับ Asin หลายตัวรวมถึงตัวอย่างที่อัปโหลดสู่ VirusTotal จากตุรกีในเดือนตุลาคม 2568 และ APK ที่ดาวน์โหลดจากโดเมน c-pdf[.]net ในเดือนธันวาคม 2568 บนอุปกรณ์ Xiaomi Redmi Note 13 Pro ที่ใช้ Android 15

รายละเอียดช่องโหว่

แอปปลอมแต่ละตัวผสานฟังก์ชันที่ใช้งานได้จริงเข้ากับ spyware ที่ซ่อนอยู่ ผู้ใช้ต้องติดตั้งแอปเองและมอบสิทธิ์ที่จำเป็นให้ก่อน หลังจากนั้น Asin จึงเริ่มทำงานสะสมข้อมูลในพื้นหลัง บริษัท ESET ไม่ได้ระบุรายละเอียดความสามารถของ Asin ครบถ้วนในรายงานที่เผยแพร่สาธารณะ แต่ระบุว่าแอปทั้งหมดรวม “spyware capabilities” ไว้ร่วมกับฟังก์ชันถูกกฎหมาย การโปรโมตผ่าน Facebook page ชื่อ “GovLens” และ Telegram channel ชื่อ “@liveuamap_ar” ซึ่งอ้างอิง Liveuamap แพลตฟอร์มแผนที่ความขัดแย้งที่ถูกกฎหมาย เป็นกลยุทธ์สร้างความน่าเชื่อถือที่ชัดเจน ตัวอย่างล่าสุดที่พบปลอมตัวเป็น “Syria Defense Map” และดาวน์โหลดจาก syriadefensemap[.]com บนอุปกรณ์ Xiaomi Redmi Note 13 Pro+ 5G

ผลกระทบต่อไทย

แม้ว่า Asin จะมุ่งเป้าผู้ใช้ภาษาอาหรับโดยเฉพาะ แต่เทคนิคที่ใช้ — การสร้างแอปปลอมในธีมข่าวความขัดแย้งและเพจ social media เพื่อโปรโมต — เป็นรูปแบบที่อาจนำมาปรับใช้กับกลุ่มเป้าหมายไทยได้ นักข่าว ผู้รายงานข่าวความขัดแย้ง และนักวิจัย OSINT ในประเทศไทยที่ติดตามสถานการณ์ตะวันออกกลางหรือใช้แอปแผนที่ความขัดแย้งควรตรวจสอบแอปที่ดาวน์โหลดอย่างรอบคอบ นอกจากนี้รูปแบบนี้ยังเป็นตัวอย่างสำคัญสำหรับหน่วยงาน สื่อมวลชน และองค์กรสิทธิมนุษยชนที่ใช้เครื่องมือ OSINT ในประเทศไทย

คำแนะนำ

ติดตั้งแอป Android เฉพาะจาก Google Play Store เท่านั้น ไม่ดาวน์โหลด APK จากเว็บไซต์ภายนอก ตรวจสอบ permission ที่แอปขอก่อนยืนยัน แอปแผนที่หรือข่าวไม่ควรขอสิทธิ์เข้าถึงรายชื่อผู้ติดต่อ SMS หรือ microphone หากไม่มีเหตุผลชัดเจน สำหรับองค์กรสื่อ นักข่าว และ NGO แนะนำให้ใช้อุปกรณ์แยกสำหรับงาน OSINT ที่ต้องดาวน์โหลดแอปจากแหล่งที่ไม่คุ้นเคย ตรวจสอบโดเมนที่ระบุด้านล่างในระบบ DNS filtering หรือ firewall ขององค์กร

IoCs

ประเภทค่าคำอธิบาย
Domaingovlens[.]netเว็บแจกจ่าย GovLens spyware APK
Domainpdf-reader[.]helpเว็บแจกจ่าย PDF reader spyware APK
Domainlive-war-map[.]comเว็บแจกจ่าย War Map spyware APK
Domainc-pdf[.]netโดเมนที่พบในตัวอย่าง Asin ธันวาคม 2568
Domainsyriadefensemap[.]comเว็บแจกจ่าย Syria Defense Map spyware APK
Facebook Pagefacebook[.]com/GovLensเพจโปรโมต GovLens spyware
Telegramt[.]me/liveuamap_arช่อง Telegram โปรโมต War Map spyware

แหล่งอ้างอิง