สรุปสั้น
บริษัท ESET จากสโลวาเกียค้นพบสปายแวร์ Android สายพันธุ์ใหม่ชื่อ Asin ที่มุ่งเป้าผู้ใช้ที่พูดภาษาอาหรับ โดยแพร่กระจายผ่านแอปปลอม 5 ตัวที่อ้างตัวเป็นแหล่งข่าวรัฐบาล, แผนที่สงคราม, เครื่องอ่าน PDF ปลอดภัย และแอปข่าวสงคราม แอปเหล่านี้ถูกโปรโมตผ่านเพจ Facebook และช่อง Telegram ที่สร้างขึ้นเฉพาะ
ESET ตั้งข้อสังเกตว่า 3 ใน 5 แอปปลอม ได้แก่ GovLens, WarMap และ Syria Defense Map ดูเหมือนจะออกแบบมาสำหรับผู้ที่สนใจการสืบสวนข้อมูลโอเพนซอร์ส ทำให้สันนิษฐานได้ว่าแคมเปญนี้อาจมุ่งเป้านักข่าวหรือนักวิจัย OSINT ที่พูดภาษาอาหรับโดยเฉพาะ ยังไม่ทราบว่ากลุ่มใดเป็นผู้ดำเนินการ
รายละเอียดข่าว
เว็บไซต์ The Hacker News รายงานเมื่อวันที่ 5 มิถุนายน พ.ศ. 2569 อ้างอิงรายงานจากบริษัท ESET ว่าตรวจพบสปายแวร์ Android ชื่อ Asin เป็นครั้งแรกในแคมเปญหลายระลอกเมื่อต้นปี 2568 แต่ละระลอกใช้เว็บไซต์แตกต่างกันเพื่อแจกจ่ายแอปอันตราย เว็บไซต์ที่ระบุได้ ได้แก่ govlens[.]net ซึ่งปลอมตัวเป็นแหล่งข่าวรัฐบาล (จดทะเบียน 27 พฤษภาคม 2568), pdf-reader[.]help ปลอมเป็นโปรแกรมแก้ไข PDF (29 พฤษภาคม 2568) และ live-war-map[.]com อ้างว่าอัปเดตเหตุการณ์ทางทหาร (20 มกราคม 2568) ESET พบ artifact ที่เกี่ยวข้องกับ Asin หลายตัวรวมถึงตัวอย่างที่อัปโหลดสู่ VirusTotal จากตุรกีในเดือนตุลาคม 2568 และ APK ที่ดาวน์โหลดจากโดเมน c-pdf[.]net ในเดือนธันวาคม 2568 บนอุปกรณ์ Xiaomi Redmi Note 13 Pro ที่ใช้ Android 15
รายละเอียดช่องโหว่
แอปปลอมแต่ละตัวผสานฟังก์ชันที่ใช้งานได้จริงเข้ากับ spyware ที่ซ่อนอยู่ ผู้ใช้ต้องติดตั้งแอปเองและมอบสิทธิ์ที่จำเป็นให้ก่อน หลังจากนั้น Asin จึงเริ่มทำงานสะสมข้อมูลในพื้นหลัง บริษัท ESET ไม่ได้ระบุรายละเอียดความสามารถของ Asin ครบถ้วนในรายงานที่เผยแพร่สาธารณะ แต่ระบุว่าแอปทั้งหมดรวม “spyware capabilities” ไว้ร่วมกับฟังก์ชันถูกกฎหมาย การโปรโมตผ่าน Facebook page ชื่อ “GovLens” และ Telegram channel ชื่อ “@liveuamap_ar” ซึ่งอ้างอิง Liveuamap แพลตฟอร์มแผนที่ความขัดแย้งที่ถูกกฎหมาย เป็นกลยุทธ์สร้างความน่าเชื่อถือที่ชัดเจน ตัวอย่างล่าสุดที่พบปลอมตัวเป็น “Syria Defense Map” และดาวน์โหลดจาก syriadefensemap[.]com บนอุปกรณ์ Xiaomi Redmi Note 13 Pro+ 5G
ผลกระทบต่อไทย
แม้ว่า Asin จะมุ่งเป้าผู้ใช้ภาษาอาหรับโดยเฉพาะ แต่เทคนิคที่ใช้ — การสร้างแอปปลอมในธีมข่าวความขัดแย้งและเพจ social media เพื่อโปรโมต — เป็นรูปแบบที่อาจนำมาปรับใช้กับกลุ่มเป้าหมายไทยได้ นักข่าว ผู้รายงานข่าวความขัดแย้ง และนักวิจัย OSINT ในประเทศไทยที่ติดตามสถานการณ์ตะวันออกกลางหรือใช้แอปแผนที่ความขัดแย้งควรตรวจสอบแอปที่ดาวน์โหลดอย่างรอบคอบ นอกจากนี้รูปแบบนี้ยังเป็นตัวอย่างสำคัญสำหรับหน่วยงาน สื่อมวลชน และองค์กรสิทธิมนุษยชนที่ใช้เครื่องมือ OSINT ในประเทศไทย
คำแนะนำ
ติดตั้งแอป Android เฉพาะจาก Google Play Store เท่านั้น ไม่ดาวน์โหลด APK จากเว็บไซต์ภายนอก ตรวจสอบ permission ที่แอปขอก่อนยืนยัน แอปแผนที่หรือข่าวไม่ควรขอสิทธิ์เข้าถึงรายชื่อผู้ติดต่อ SMS หรือ microphone หากไม่มีเหตุผลชัดเจน สำหรับองค์กรสื่อ นักข่าว และ NGO แนะนำให้ใช้อุปกรณ์แยกสำหรับงาน OSINT ที่ต้องดาวน์โหลดแอปจากแหล่งที่ไม่คุ้นเคย ตรวจสอบโดเมนที่ระบุด้านล่างในระบบ DNS filtering หรือ firewall ขององค์กร
IoCs
| ประเภท | ค่า | คำอธิบาย |
|---|---|---|
| Domain | govlens[.]net | เว็บแจกจ่าย GovLens spyware APK |
| Domain | pdf-reader[.]help | เว็บแจกจ่าย PDF reader spyware APK |
| Domain | live-war-map[.]com | เว็บแจกจ่าย War Map spyware APK |
| Domain | c-pdf[.]net | โดเมนที่พบในตัวอย่าง Asin ธันวาคม 2568 |
| Domain | syriadefensemap[.]com | เว็บแจกจ่าย Syria Defense Map spyware APK |
| Facebook Page | facebook[.]com/GovLens | เพจโปรโมต GovLens spyware |
| Telegram | t[.]me/liveuamap_ar | ช่อง Telegram โปรโมต War Map spyware |
