ในยุคที่แอปพลิเคชันธนาคาร (Banking Apps) และแอปการเงินกลายเป็นปัจจัยสำคัญในการใช้ชีวิต การรักษาความปลอดภัยจึงกลายเป็นสมรภูมิสำคัญที่ทั้งผู้ใช้งานและสถาบันการเงินต้องตื่นตัวอยู่เสมอ ล่าสุด การค้นพบมัลแวร์ตัวใหม่บนระบบ Android ที่ชื่อ “Herodotus” ได้สร้างความกังวลระลอกใหม่ให้กับอุตสาหกรรม แม้ Google จะยืนยันว่า Google Play ยังคงปลอดภัย แต่ภัยคุกคามนี้ชี้ให้เห็นถึงวิวัฒนาการขั้นสูงของอาชญากรไซเบอร์ ที่กำลังใช้ AI และระบบอัตโนมัติ “เลียนแบบ” พฤติกรรมมนุษย์ เพื่อหลบเลี่ยงการตรวจจับที่ซับซ้อนที่สุด
ความน่ากังวลของ “Herodotus” ซึ่งเป็นมัลแวร์ประเภท Trojan (Android Banking Trojan) ไม่ได้อยู่ที่การโจมตีแบบเดิมๆ แต่อยู่ที่ “วิธีการ” ของมัน
นายดาร์เรน กุชชิโอเน (Darren Guccione) ซีอีโอ และผู้ร่วมก่อตั้ง Keeper Security บริษัทชั้นนำด้านความปลอดภัยไซเบอร์ ได้ให้ทัศนะไว้อย่างน่าสนใจว่า Herodotus สะท้อนถึง “เวกเตอร์ภัยคุกคามที่กำลังพัฒนา” (Evolving Threat Vector) ซึ่งรหัสที่เป็นอันตราย (Malicious Code) กำลังลอกเลียนแบบพฤติกรรมของมนุษย์มากขึ้นเรื่อยๆ
“มันแทรกการหยุดชั่วคราวและการหน่วงเวลาเล็กน้อยเพื่อทำให้ดูเหมือนมนุษย์ และหลีกเลี่ยงการตรวจจับ” นายกุชชิโอเนอธิบาย
เขากล่าวว่า นี่คือตัวอย่างที่ชัดเจนว่าผู้โจมตีกำลังใช้ประโยชน์จากระบบอัตโนมัติ (Automation) และ “Agentic Intelligence” (ปัญญาประดิษฐ์ที่ดำเนินการได้เอง) เพื่อเลียนแบบการโต้ตอบของผู้ใช้ที่ถูกต้องตามกฎหมาย เพื่อหลบเลี่ยงระบบที่ออกแบบมาเพื่อหยุดยั้งพวกมันโดยเฉพาะ
ในอดีต ระบบความปลอดภัยอาจใช้การวิเคราะห์จังหวะการพิมพ์ (Keystroke Cadence) หรือจังหวะการกด (Rhythm) เพื่อแยกระหว่างมนุษย์กับบอท (Bot) ที่มักจะรวดเร็วและเป็นแบบแผนตายตัว แต่มัลแวร์ยุคใหม่เช่น Herodotus ถูกออกแบบมาเพื่อเอาชนะจุดนี้
“เครื่องมือรักษาความปลอดภัยที่อาศัยเพียงจังหวะ การเคาะแป้นพิมพ์ หรือจังหวะเวลาของผู้ใช้เพียงอย่างเดียว จะต้องดิ้นรนอย่างหนักเพื่อระบุระบบอัตโนมัติรูปแบบใหม่เหล่านี้”
สิ่งที่จำเป็นในตอนนี้ คือการมองเห็นที่ลึกขึ้นในระดับกระบวนการและเซสชัน (Process and Session Level) พร้อมความสามารถในการเชื่อมโยงข้อมูลเชิงพฤติกรรม (Behavioural), บริบท (Contextual) และสภาพแวดล้อม (Environmental) แบบเรียลไทม์
Google Play ปลอดภัย แต่ “Side-loading” คือประตูโจร
ข่าวดีในสถานการณ์นี้คือ แถลงการณ์ของ Google ที่ยืนยันว่า ไม่พบแอปที่ติดเชื้อบน Google Play และระบบป้องกันอย่าง Play Protect ก็กำลังบล็อกตัวแปรของมัลแวร์นี้ที่รู้จักอยู่แล้ว
นั่นหมายความว่าผู้ใช้ที่ดาวน์โหลดแอปพลิเคชันจาก Google Play โดยตรงยังคงปลอดภัย
อย่างไรก็ตาม ภัยคุกคามของ Herodotus ไม่ได้อยู่ที่ Google Play แต่อยู่ที่ช่องโหว่ซึ่งเกิดจากพฤติกรรมของผู้ใช้เอง อาชญากรไซเบอร์กำลังใช้ประโยชน์จาก:
- วิศวกรรมสังคม (Social Engineering): การหลอกลวงให้ผู้ใช้เชื่อใจ เช่น การส่งข้อความ SMS หรือข้อความผ่านแอปอย่าง WhatsApp อ้างว่ามาจากธนาคาร หรือบริการที่น่าเชื่อถือ
- การคลิกลิงก์อันตราย (Malicious Links): ลิงก์เหล่านี้จะนำไปสู่การดาวน์โหลดไฟล์
- Side-loading: นี่คือหัวใจสำคัญของปัญหา คือการที่ผู้ใช้ “ยินยอม” ติดตั้งแอปพลิเคชันจากแหล่งที่ไม่รู้จัก หรือไฟล์ .apk ที่ดาวน์โหลดมาเองนอก Google Play Store
นายกุชชิโอเนย้ำว่า “ผู้ก่อการคุกคามยังคงใช้ประโยชน์จากการ Sideloading, วิศวกรรมสังคม และช่องทางแอปของบุคคลที่สาม เพื่อหลีกเลี่ยงระบบนิเวศแอปที่เชื่อถือได้ และหาประโยชน์จากความหละหลวมของผู้ใช้”
เมื่อ AI สู้กับ AI และช่องโหว่ของ “ความเชื่อใจ”
การมาถึงของ Herodotus ตอกย้ำความท้าทายที่สำคัญในความปลอดภัยของมือถือ: การป้องกันระดับแพลตฟอร์ม (เช่น Play Protect) สามารถป้องกันได้เฉพาะภัยคุกคาม “ที่รู้จักแล้ว” (Known Threats) เท่านั้น
ในขณะที่ผู้โจมตีกำลังปรับใช้มัลแวร์ที่ “ปรับเปลี่ยนพฤติกรรมได้” (Polymorphic) และ “เสริมศักยภาพด้วย AI” (AI-enhanced) ซึ่งสามารถเปลี่ยนแปลงตัวเองแบบเรียลไทม์เพื่อหลบเลี่ยงการตรวจจับ
สถานการณ์นี้กำลังสร้างแรงกดดันมหาศาลต่อองค์กร โดยเฉพาะองค์กรที่มีนโยบาย “Bring-Your-Your-Own-Device” (BYOD) ที่อนุญาตให้พนักงานใช้อุปกรณ์ส่วนตัวในการทำงาน
นายกุชชิโอเนชี้ว่า นี่คือจุดที่แนวคิด “Zero Trust” (หลักการไม่ไว้วางใจ) และ “Privileged Access Management” (PAM – การจัดการสิทธิ์การเข้าถึง) กลายเป็นสิ่งสำคัญอย่างยิ่งยวด
“ภัยคุกคามสมัยใหม่เช่น Herodotus ไม่ได้เพียงแค่แสวงหาประโยชน์จากช่องโหว่ของซอฟต์แวร์เท่านั้น พวกมันแสวงหาประโยชน์จาก ช่องว่างในการยืนยันตัวตน (Identity Verification Gaps) และ การเข้าถึงสิทธิ์ที่มากเกินไป (Over-privileged Access)”
ในยุคนี้ เรากำลังเห็นการเปลี่ยนแปลงพื้นฐานไปสู่ความปลอดภัยไซเบอร์ที่ “เน้นตัวตนเป็นศูนย์กลาง” (Identity-first) และ “ใช้ AI ช่วย” (AI-assisted)
กรอบการทำงานของ Zero Trust หมายความว่า ทุกการโต้ตอบทางดิจิทัล ไม่ว่าจะเป็นจากมนุษย์, บอท หรือ AI Agent จะต้องถูก “ยืนยัน, อนุญาต และตรวจสอบ” (Authenticated, Authorised and Monitored) อย่างต่อเนื่อง
พูดง่ายๆ คือ “ไม่เชื่อใครเลย” แม้ว่าจะอยู่ในเครือข่ายภายในองค์กรก็ตาม ต้องพิสูจน์ตัวตนทุกครั้งที่เข้าถึงทรัพยากร
เป้าหมายสูงสุดไม่ใช่แค่การ “ตรวจจับ” กิจกรรมที่เป็นอันตรายหลังจากเกิดขึ้นแล้ว แต่คือการ “ป้องกันการใช้สิทธิ์ในทางที่ผิด” (Prevent Privilege Misuse) หรือการทำงานอัตโนมัติที่ไม่ได้รับอนุญาต “ก่อนที่มันจะเกิดขึ้น”
นายกุชชิโอเนสรุปว่า องค์กรที่นำการตรวจสอบแบบต่อเนื่องและตระหนักถึงบริบท (Continuous, Context-aware Monitoring) โดยมีรากฐานจากหลักการ Zero Trust มาใช้ จะเป็นองค์กรที่พร้อมที่สุดในการป้องกันตนเองจากภัยคุกคามยุคใหม่ที่ปรับตัวและเลียนแบบพฤติกรรมได้เช่นนี้
#มัลแวร์ธนาคาร #Herodotus #ภัยไซเบอร์ #แอปธนาคาร #ZeroTrust #KeeperSecurity #ความปลอดภัยมือถือ #AndroidMalware #เตือนภัยมิจฉาชีพ #DigitalEconomy
