โหลดจาก App Store/Play Store = ปลอดภัยจริงเหรอ?
By Areerat Promaruk,
Penetration Tester Team, Datafarm Company Limited
ที่มา: https://blog.acviss.com/how-to-take-down-fake-apps-from-play-store-and-app-store
สวัสดีค่ะทุกคนวันนี้เราจะมาคุยกันถึงเรื่องแอปปลอมกันค่ะ ซึ่งเราเชื่อว่าทุกคนต้องเคยดาวน์โหลดแอปแต่งรูป แอปฟังเพลง หรือเกม จาก Play Store หรือ App Store อยู่แล้ว แบบหนีไม่พ้น แต่เคยมั้ยที่รู้สึกว่าเครื่องเราเริ่มร้อน แบตหมดไว หรือมีโฆษณาเด้งเต็มจอ ถ้า “เคย” คือมีโอกาสสูงว่าเราอาจเคยติด มัลแวร์ที่ปลอมเป็นแอปธรรมดา โดยไม่รู้ตัว และที่น่าตกใจกว่าคือ มันผ่านการตรวจของ Google และ Apple มาแล้วด้วย และในยุคนี้ที่ทุกอย่างอยู่บนสมาร์ตโฟน ตั้งแต่บัญชีธนาคารจนถึงไฟล์งานสำคัญ ซึ่งเราจะคิดว่า “โหลดจาก Store คือปลอดภัย”แต่ความจริงคือ แอปปลอมจำนวนมากยังเล็ดรอดเข้ามาได้ และบางแอปอยู่ใน Store นานนับปีโดยไม่มีใครรู้เลยว่ามันเป็นของปลอม
“แอปปลอม” คืออะไร?
แอปปลอม (Fake App) คือแอปที่ ปลอมเป็นแอปจริงหรือสร้างขึ้นเพื่อหลอกให้ดาวน์โหลด มันอาจหน้าตาเหมือนแอปจริงทุกอย่าง โลโก้เหมือน ชื่อคล้าย ฟังก์ชันก็ใช้งานได้ปกติ แต่เบื้องหลังแอบซ่อนโค้ดอันตรายไว้ เช่น
- ดึงข้อมูลส่วนตัว เช่น เบอร์โทรศัพท์ รายชื่อ หรือพิกัดที่อยู่
- แสดงโฆษณาแอบแฝง (adware)
- ติดตั้งมัลแวร์เพิ่มเติมภายหลัง
- เปิดช่องให้แฮกเกอร์ควบคุมเครื่องจากระยะไกล
ที่อันตรายคือ หลายแอปจะไม่ได้โจมตีในทันที ซึ่งในตอนดาวน์โหลดอาจจะดูไม่มีอะไร แต่พอผ่านไปไม่กี่วัน มันจะเริ่มติดต่อเซิร์ฟเวอร์ลับ แล้วดาวน์โหลดมัลแวร์เข้ามาในเครื่องเอง นี่คือเทคนิคที่เรียกว่า “Dropper Malware”
แอปรอดการตรวจของ Google / Apple ได้ยังไง?
ทั้ง Google Play Protect และ Apple App Review มีระบบตรวจสอบอัตโนมัติ แต่ไม่มีระบบไหนที่ “สมบูรณ์แบบ” แอปปลอมมักใช้เทคนิคหลอกการตรวจสอบ เช่น
1. Dynamic Loading
คือตอนส่งขึ้น Store แอปจะไม่มีโค้ดอันตรายใด ๆ จึงผ่านการตรวจสอบไปได้ แต่พอผ่านขั้นตรวจสอบมาแล้ว มันจะดาวน์โหลดโค้ดจริงจากเซิร์ฟเวอร์ภายนอกในภายหลัง เรียกว่า “two-stage attack” ซึ่งตอนแรกจะดูปกติ แต่พอผู้ใช้งานเริ่มใช้ ก็จะเริ่มโจมตีทันที
2. Sandbox Evasion
เป็นระบบตรวจของ Google ใช้ sandbox จำลองเพื่อทดสอบพฤติกรรมแอป แอปปลอมบางตัวฉลาดพอที่จะตรวจจับได้ว่าอยู่ในสภาพแวดล้อมทดสอบจากนั้นมันจะ “นิ่งเฉย” เหมือนแอปดี ๆ จนกว่าจะถูกติดตั้งในเครื่องจริง
3. ใช้ชื่อและไอคอนเลียนแบบแอปดัง
เช่น “YouTube Music 2025”, “WhatsApp Pro+”, “X Premium Chat” แค่เพิ่มคำท้ายให้ดูเหมือนรุ่นอัปเกรด คนก็หลงดาวน์โหลดเพียบ
4. แอบอัปเดตโค้ดหลังผ่านการตรวจ
นักพัฒนาอาจส่งแอปเวอร์ชันปลอดภัยขึ้น Store แต่หลังจากผ่านการตรวจสอบแล้ว ค่อยอัปเดตใหม่ โดยใส่โค้ดอันตรายเพิ่ม
ซึ่งระบบของ Store ไม่ได้ตรวจทุกอัปเดตละเอียดเท่าครั้งแรก
เดี๋ยวเราพามาดูตัวอย่างจริงจากทั่วโลกกันนะคะ
- กรณี “iRecorder — Screen Recorder”
แอปนี้เคยอยู่ใน Play Store จริง ๆ และดูไม่มีปัญหานานกว่า 1 ปี แต่หลังจากอัปเดตเวอร์ชันใหม่ มันเริ่ม “อัดเสียงผู้ใช้” แล้วส่งกลับไปยังเซิร์ฟเวอร์ของผู้พัฒนาก่อนจะถูกค้นพบโดยนักวิจัยจาก ESET และถูกถอดออกหลังถูกดาวน์โหลดไปแล้วกว่า 50,000 ครั้ง
- กรณี “Fake ChatGPT Apps”
หลังจาก ChatGPT ดังในปี 2023 มีแอปปลอม ChatGPT โผล่ใน Store เต็มไปหมด บางแอปตั้งชื่อว่า “ChatGPT AI Assistant Pro” หรือ “ChatGPT 2024 Premium” ขอ permission เกินจำเป็น เช่น เข้าถึง SMS, กล้อง, และตำแหน่งที่อยู่ บางแอปเก็บค่าบริการรายสัปดาห์ ทั้งที่ของจริงใช้ฟรี มีรายงานว่ามีผู้ดาวน์โหลดรวมกว่า ล้านครั้งก่อนจะถูกลบออก
- กรณี “Weather Forecast” & “QR Scanner” มัลแวร์
ในปี 2024 บริษัท Dr.Web พบว่าแอปพยากรณ์อากาศและสแกน QR ปลอมกว่า 200 แอปใน Play Store แอบแสดงโฆษณาแบบ background ad แม้ผู้ใช้จะไม่ได้เปิดแอปก็ตาม รวมยอดดาวน์โหลดเกิน 50 ล้านครั้งก่อนโดนถอด
แอปปลอมทำเงินได้ยังไง?
ไม่ใช่ทุกแอปปลอมที่ต้องการขโมยข้อมูล บางแอปแค่ “ปั่นรายได้” เช่น
- แอบคลิกโฆษณาอัตโนมัติ (click fraud)
- ใช้เครื่องของผู้ใช้ขุดเหรียญคริปโต (cryptojacking)
- ดึงข้อมูลพฤติกรรมผู้ใช้ไปขายให้บริษัทโฆษณา
แล้วเราจะรู้ได้ยังไงว่าอันไหนของจริง?
มีวิธีตรวจง่าย ๆ ที่ช่วยลดความเสี่ยงได้เยอะมาก เช่น
1. เช็กชื่อผู้พัฒนา (Developer Name)
ของจริงจะเป็นบริษัทที่รู้จัก เช่น Google LLC, OpenAI, Adobe Systems ถ้าเห็นชื่อแปลก ๆ หรือสะกดผิด เช่น “GoogIe Inc.” (ใช้ตัว i แทน L) ก็คือรีบหนีไป
2. ดูจำนวนดาวน์โหลด
แอปดังจริงมักมีหลักล้านดาวน์โหลดขึ้นไป ถ้ามีแค่หลักพันแต่ชื่อเหมือนแอปดัง แปลกแน่นอน
3. อ่านรีวิวอย่างระวัง
แอปปลอมมักมีรีวิว 5 ดาวสั้น ๆ จำนวนมาก เช่น “Good app”, “Nice”, “Perfect” หรือมีแต่ 1 ดาวบ่นว่า “เปิดไม่ได้ / เครื่องร้อน”
4. ดู permission ที่แอปขอ
แอปไฟฉายไม่ควรขอเข้าถึงรายชื่อหรือกล้อง
5. เช็กเว็บไซต์ทางการก่อนดาวน์โหลด
โดยเฉพาะแอปที่มีหลายชื่อเลียนแบบ เช่น ChatGPT, Canva, CapCut
6. ใช้ VirusTotal ตรวจ APK ก่อนติดตั้ง (Android)
สามารถอัปโหลดไฟล์ APK ไปตรวจได้ฟรี virustotal.com
วิธีป้องกันเพิ่มเติม
- อัปเดตระบบปฏิบัติการอยู่เสมอ
- Android และ iOS มักออก patch เพื่ออุดช่องโหว่ที่มัลแวร์ใช้หลอกระบบตรวจ
- หลีกเลี่ยงไฟล์ APK จากเว็บภายนอก
- โดยเฉพาะเว็บ “แจกฟรี” เพราะมักฝังมัลแวร์
- ติดตั้งแอปป้องกันมัลแวร์สำหรับมือถือ เช่น Kaspersky, ESET, Bitdefender
- สำรองข้อมูลเป็นประจำ
- ถ้าโดนมัลแวร์เข้ารหัส (ransomware) จะกู้ข้อมูลกลับได้ง่ายขึ้น
ทำไม “ระบบปลอดภัย” ยังไม่พอ
หลายคนคงคิดว่า “Google กับ Apple ใหญ่ขนาดนี้ น่าจะกันได้หมดแล้วไม่น่ามีช่องโหว่ด้านความปลอดภัย” แต่ความจริงคือ cybersecurity จะเป็นการที่นักพัฒนาเพิ่มระบบตรวจ → แฮกเกอร์ปรับวิธีหลบ ไม่ต่างจากไวรัสในโลกจริงที่กลายพันธุ์ตลอดเวลา อีกอย่างคือ ปริมาณแอปมหาศาล โดยใน Play Store มีแอปมากกว่า 3.5 ล้านแอป ส่วน App Store มีเกิน 2 ล้านแอป ไม่มีระบบใดสามารถตรวจทุกแอปอย่างละเอียดในเวลาสั้น ๆ ได้หมด บางทีแอปอันตรายอาจรอดไปได้เพียงไม่กี่วัน แต่ในช่วงนั้นมันอาจถูกดาวน์โหลดนับแสนครั้งแล้ว ในโลกไซเบอร์ปัจจุบัน การ “เชื่อว่าแอปใน Store ปลอดภัยเสมอ” อาจกลายเป็นช่องโหว่ที่ใหญ่ที่สุดของเราเอง ความปลอดภัยไม่ได้มาจากระบบที่แข็งแรงที่สุด แต่มาจาก ผู้ใช้ที่ระวังที่สุดนะคะ ขอบคุณที่เข้ามาอ่านบทความนี้ และหวังว่าจะช่วยให้ทุกคนปลอดภัยจากแอปเก๊กัน ไว้เจอกันใหม่บทความหน้านะคะ
References:
