ผู้ใช้ Android โดยเฉพาะกลุ่มที่ใช้เครื่องราคาประหยัด หรือแบรนด์ที่ไม่ได้อยู่ในกลุ่มผู้ผลิตรายใหญ่ ควรระวังข่าวนี้เป็นพิเศษ เพราะ Kaspersky เปิดเผยการค้นพบมัลแวร์ตัวใหม่ชื่อ Keenadu ที่มีความอันตรายสูง และบางกรณีสามารถมาแบบ “ติดเครื่องตั้งแต่แกะกล่อง” ได้เลย ผ่านการฝังตัวในเฟิร์มแวร์ของอุปกรณ์ (pre-installed malware) ไม่ใช่แค่ติดจากการลงแอปเองภายหลังเท่านั้น
จุดที่น่ากังวลคือ Keenadu ไม่ได้เป็นเพียง adware ธรรมดา แม้ปัจจุบัน Kaspersky ระบุว่าแคมเปญที่พบส่วนใหญ่ถูกใช้เพื่อทำ ad fraud (โกงโฆษณา) แต่ความสามารถของมันไปได้ไกลกว่านั้นมาก โดยบางเวอร์ชันสามารถทำงานในระดับที่เปิดทางให้ผู้โจมตีเข้าควบคุมเครื่องได้เกือบทั้งหมด และเข้าถึงข้อมูลสำคัญ เช่น ข้อความ ไฟล์มีเดีย ข้อมูลระบุตำแหน่ง รวมถึงข้อมูลเข้าสู่ระบบ/ข้อมูลทางการเงินได้
Keenadu คืออะไร และอันตรายแค่ไหน
Keenadu คือ Android backdoor/malware ที่ Kaspersky ตรวจพบว่าแพร่กระจายได้หลายรูปแบบ ไม่ได้จำกัดแค่แอปปลอมจากเว็บนอก แต่รวมถึงการฝังในเฟิร์มแวร์ของอุปกรณ์, ฝังใน system app และในบางกรณี ยังพบในแอปที่เคยอยู่บน Google Play ด้วย
เครดิตภาพ: Kaspersky
Kaspersky ระบุว่า ณ ช่วงที่เผยแพร่ข้อมูล (กุมภาพันธ์ 2026) พบอุปกรณ์ติดเชื้อแล้วมากกว่า 13,000 เครื่อง โดยประเทศที่พบมาก ได้แก่ รัสเซีย ญี่ปุ่น เยอรมนี บราซิล และเนเธอร์แลนด์
ความอันตรายของ Keenadu อยู่ที่ “ระดับการฝังตัว” เพราะเวอร์ชันที่ฝังมากับเฟิร์มแวร์ สามารถแทรกตัวในองค์ประกอบระดับระบบ และทำงานในบริบทของแอปต่าง ๆ บนเครื่องได้ ทำให้ระบบ sandbox ของ Android ถูกลดทอนประสิทธิภาพลงอย่างมากในเครื่องที่ติดเชื้อชนิดนี้
พูดให้เข้าใจง่าย คือ ต่อให้ผู้ใช้ไม่ได้กดติดตั้งแอปแปลก ๆ เองเลย เครื่องก็อาจมีความเสี่ยงได้ตั้งแต่แรก หากเฟิร์มแวร์ต้นทางถูกแทรกมัลแวร์มาตั้งแต่กระบวนการผลิตหรืออัปเดต OTA แล้ว
Keenadu เข้ามาในเครื่องได้อย่างไร
จากข้อมูลของ Kaspersky และรายงานที่อ้างอิงต่อโดย BleepingComputer รูปแบบการกระจายของ Keenadu มีหลายทาง ได้แก่:
1) ฝังในเฟิร์มแวร์ (อันตรายที่สุด)
กรณีนี้คือเครื่องติดเชื้อมาตั้งแต่ระดับซอฟต์แวร์ระบบ ผู้ใช้แทบไม่มีทางรู้ตัวจากการใช้งานทั่วไป และการลบออกทำได้ยากมาก เพราะมัลแวร์อยู่ลึกกว่าระดับแอปทั่วไป
2) ฝังใน system apps
Keenadu บางเวอร์ชันถูกพบในแอประบบ เช่น แอปที่เกี่ยวข้องกับการปลดล็อกด้วยใบหน้า หรือ launcher/home screen ซึ่งแม้ความสามารถจะไม่สุดเท่าแบบ firmware-level แต่ก็ยังมีสิทธิ์สูงกว่าปกติ และสามารถติดตั้งแอปอื่นโดยผู้ใช้ไม่รู้ตัวได้
3) มากับแอปที่ถูกดัดแปลง / ร้านแอปนอก / และบางกรณีบน Store ทางการ
Kaspersky ระบุว่าพบแอปบางตัวบน Google Play ที่เกี่ยวข้องกับกล้องสมาร์ตโฮมติดส่วนประกอบของ Keenadu และมียอดดาวน์โหลดรวมกันเกิน 300,000 ครั้ง ก่อนถูกนำออกจากสโตร์
Keenadu ทำอะไรได้บ้างบนเครื่องที่ติดเชื้อ
Kaspersky ระบุว่าเวอร์ชันที่ฝังในเฟิร์มแวร์สามารถให้ผู้โจมตีควบคุมอุปกรณ์ได้ในระดับสูงมาก และในทางปฏิบัติ มีผลกระทบที่ผู้ใช้ควรเข้าใจดังนี้:
- เข้าถึงข้อมูลบนอุปกรณ์ได้กว้างมาก เช่น ไฟล์มีเดีย ข้อความ และข้อมูลสำคัญอื่น ๆ
- ติดตั้งแอปจากไฟล์ APK ได้โดยไม่ได้รับความยินยอมจากผู้ใช้
- ให้สิทธิ์ต่าง ๆ กับแอปที่ติดตั้งเพิ่มได้
- ทำงานเบื้องหลังเพื่อใช้เครื่องเป็น bot สำหรับ ad fraud
- ในบางกรณี สามารถติดตามพฤติกรรมบางอย่างของผู้ใช้ได้ เช่น การค้นหาใน Chrome (รวมถึงโหมด incognito ตามที่ Kaspersky ระบุ)
นอกจากนี้ Kaspersky ยังพบกรณีที่มัลแวร์ฝังอยู่ในแอประบบที่เกี่ยวข้องกับ Face ID บนบางเครื่อง ซึ่งนักวิจัยชี้ว่าอาจเปิดความเสี่ยงต่อข้อมูลด้านการยืนยันตัวตนของผู้ใช้ได้เช่นกัน
ประเด็นที่หลายคนสงสัย: ต้นทางมัลแวร์มาจากไหนกันแน่
ในรายงานมีข้อสังเกตว่า Keenadu บางเวอร์ชันจะไม่ทำงาน หากเครื่องตั้งค่าเป็นภาษาจีน/โซนเวลาจีน และจะไม่เริ่มทำงานถ้าไม่พบ Google Play Store และ Google Play Services บนอุปกรณ์
อย่างไรก็ตาม จุดนี้เป็น “เบาะแสเชิงพฤติกรรม” เท่านั้น ยังไม่ใช่หลักฐานยืนยันต้นทางผู้โจมตีโดยตรง จึงไม่ควรสรุปที่มาแบบฟันธงเกินข้อมูลที่มีอยู่ตอนนี้
สิ่งที่ Kaspersky เน้นชัดกว่า คือ ความเป็นไปได้ของ supply chain attack ในกระบวนการเฟิร์มแวร์ เนื่องจากหลักฐานที่พบทำให้ประเมินได้ว่ามัลแวร์อาจถูกแทรกเข้ามาระหว่างขั้นตอน build firmware ไม่ใช่แค่โดนแก้ไขหลังบ้านแบบง่าย ๆ
มีรุ่นไหนโดนบ้าง และทำไมข่าวนี้น่ากลัวกว่ามัลแวร์ทั่วไป
BleepingComputer รายงานว่าหนึ่งในรุ่นที่ถูกอ้างถึงคือ Alldocube iPlay 50 mini Pro (T811M) และ Kaspersky ระบุว่ามัลแวร์ถูกพบในเฟิร์มแวร์ของอุปกรณ์จากหลายแบรนด์ ไม่ได้จำกัดแค่รุ่นเดียว
ความต่างจากมัลแวร์ Android ที่คนทั่วไปคุ้นเคย คือ ปกติเรามักคิดว่า “ไม่ลงแอปแปลก ก็ปลอดภัยไว้ก่อน” ซึ่งใช้ได้กับหลายกรณี แต่สำหรับ Keenadu แบบ firmware-level นั้น เครื่องอาจติดมาก่อนแล้วตั้งแต่โรงงาน หรือผ่าน OTA ที่ถูกแทรก ทำให้ผู้ใช้ทำผิดพลาดเองน้อยมาก แต่ก็ยังเสี่ยงได้อยู่ดี
นี่จึงเป็นเหตุผลว่าทำไมข่าวนี้ถูกมองว่าเป็นประเด็นด้าน supply chain security มากกว่าจะเป็นแค่ “ระวังอย่ากดลิงก์แปลก ๆ” แบบข่าวมัลแวร์ทั่วไป
ถ้าใช้ Android อยู่ ควรทำอย่างไรตอนนี้
แม้ข่าวนี้จะน่ากังวล แต่ผู้ใช้ทั่วไปยังพอมีแนวทางลดความเสี่ยงได้ โดยอ้างอิงจากคำแนะนำของ Kaspersky และข้อมูลที่ BleepingComputer รายงานเพิ่มเติม:
แนวทางที่ควรทำทันที
- ตรวจสอบรุ่นเครื่องและแหล่งที่ซื้อ
- ถ้าเป็นเครื่องราคาถูกผิดปกติ, ร้านไม่เป็นทางการ, ROM แปลก ๆ หรือแบรนด์ที่ไม่คุ้นเคยมาก ควรระวังเป็นพิเศษ
- อัปเดตเฟิร์มแวร์/ระบบจากผู้ผลิตอย่างเป็นทางการ
- Kaspersky แนะนำให้ตรวจสอบเฟิร์มแวร์อัปเดต และหลังอัปเดตควรสแกนเครื่องอีกครั้ง
- เปิดใช้งาน Google Play Protect (ถ้าใช้เครื่องที่มี Google Play Services)
- Google ระบุผ่าน BleepingComputer ว่า Play Protect ป้องกันมัลแวร์เวอร์ชันที่รู้จักได้ และสามารถเตือน/ปิดการทำงานแอปที่มีพฤติกรรมเกี่ยวข้องกับ Keenadu ได้ แม้แอปจะมาจากนอก Play Store ก็ตาม
- หลีกเลี่ยงการ sideload แอปจากแหล่งไม่น่าเชื่อถือ
- Keenadu มีเวอร์ชันที่แพร่ผ่านแอปดัดแปลงและแหล่งแจก APK ภายนอกด้วย
- หากสงสัยว่าเครื่องติดเชื้อระดับเฟิร์มแวร์
- อย่าใช้ทำธุรกรรมสำคัญ เช่น mobile banking, เก็บรหัสผ่าน, OTP, เอกสารงานสำคัญ
- พิจารณาย้ายบัญชีสำคัญไปใช้อุปกรณ์ที่เชื่อถือได้ก่อน
กรณีหนัก: ถอดไม่ออกง่าย ๆ
Kaspersky อธิบายว่าถ้ามัลแวร์ฝังใน libandroid_runtime.so ระดับเฟิร์มแวร์ การลบด้วยเครื่องมือ Android ทั่วไปแทบทำไม่ได้ และการแก้แบบแฟลชเฟิร์มแวร์เองก็มีความเสี่ยงเรื่องเครื่องใช้งานไม่ได้ (brick) หากใช้ไฟล์ไม่ตรงรุ่น
ในทางปฏิบัติ หากยืนยันว่าติดเชื้อจริงและแก้ไม่ได้จากผู้ผลิต วิธีที่ปลอดภัยที่สุดอาจเป็นการหยุดใช้งานเครื่องนั้นสำหรับงานสำคัญ และเปลี่ยนไปใช้เครื่องจากผู้ผลิต/ตัวแทนจำหน่ายที่เชื่อถือได้มากกว่า ตามที่ BleepingComputer สรุปจากคำแนะนำของนักวิจัย
สรุป
ข่าว Keenadu เป็นอีกหนึ่งกรณีที่เตือนให้เห็นว่า ความเสี่ยงบน Android ไม่ได้มีแค่การกดลิงก์ปลอมหรือโหลด APK เถื่อนเท่านั้น แต่ยังรวมถึงความเสี่ยงในห่วงโซ่อุปทาน (supply chain) ของตัวเครื่องเองด้วย โดยเฉพาะอุปกรณ์ที่ใช้เฟิร์มแวร์จากแหล่งที่ตรวจสอบคุณภาพได้ยาก
สำหรับผู้ใช้ทั่วไป หลักสำคัญยังเหมือนเดิมคือ ซื้อเครื่องจากแหล่งที่เชื่อถือได้, อัปเดตสม่ำเสมอ, ใช้ Play Protect/โซลูชันความปลอดภัยที่เชื่อถือได้ และถ้าเริ่มสงสัยว่าเครื่องผิดปกติในระดับระบบ อย่าฝืนใช้ทำธุรกรรมสำคัญ เพราะความเสียหายที่ตามมาอาจมากกว่าค่าเครื่องหลายเท่า
ที่มา: NotebookCheck
