CDIC 2023

132 แอพใน Google Play Store มีมัลแวร์ซ่อนอยู่ นักวิจัยเชื่อผู้พัฒนาถูกแฮ็ค

นักวิจัยด้านความมั่นคงปลอดภัยจาก Palo Alto Networks ออกมาแจ้งเตือนถึงการค้นพบร่องรอยของมัลแวร์ Windows ที่แฝงตัวอยู่ในแอพพลิเคชันบน Android รวมแล้ว 132 แอพ ซึ่งเปิดให้ผู้ใช้ดาวน์โหลดผ่าน Google Play Store เชื่อว่าไม่ได้มาจากฝีมือผู้พัฒนา แต่มาจากการที่ผู้พัฒนาเหล่านั้นถูกแฮ็ค

จากการตรวจสอบพบว่าแอพพลิเคชันเหล่านี้มี Iframe ขนาดเล็กซ่อนอยู่ในซอร์สโค้ด HTML พร้อมเตรียมเชื่อมต่อกับ C&C Server ของแฮ็คเกอร์เพื่อดาวน์โหลด Payload มาติดตั้ง อย่างไรก็ตาม ขณะที่นักวิจัยค้นพบร่องรอยมัลแวร์ของแอพพลิเคชันเหล่านั้น C&C Server ทั้งหมดหยุดให้บริการไปแล้ว แต่จากการตรวจสอบพบว่า Server เหล่านั้นมีประวัติเกี่ยวกับการดำเนินการอันไม่พึงประสงค์ เช่น มีส่วนร่วมในแคมเปญการแพร่กระจายมัลแวร์บน Windows

นอกจากการซ่อน Iframe ไว้ในซอร์สโค้ด แอพพลิเคชันบางแอพยังซ่อน VBScript ไว้ด้วยเช่นกัน โดยโค้ด VBScript ดังกล่าวจะพยายามติดตั้งไฟล์ EXE ที่ Encode แบบ Base64 ลงบนอุปกรณ์ Android ของผู้ใช้ ซึ่งแน่นอนว่าไฟล์ EXE นั้นไม่สามารถทำอันตรายอุปกรณ์ได้ เนื่องจากไม่ใช่ระบบปฏิบัติการ Windows ที่สำคัญคือ C&C Server ที่ติดต่อก็หยุดให้บริการไปแล้วเช่นกัน นักวิจัยจาก Palo Alto Networks ระบุว่า ในกรณีที่ไฟล์ดังกล่าวสามารถทำงานได้ มันจะดำเนินการแก้ไขไฟล์ที่ใช้ตั้งค่าระบบเครือข่าย เปลี่ยนการตั้งค่าไฟร์วอลล์ แทรกโค้ดแปลกปลอมเข้าไปในโปรเซส และแพร่กระจายตัวเองไปยังอุปกรณ์อื่นๆ

เป็นที่น่าแปลกใจมาว่า ทำไม C&C Server ทั้งหมดถึงหยุดให้บริการ รวมไปถึงพยายามติดตั้งมัลแวร์ Windows ลงบนอุปกรณ์ Android นักวิจัยจาก Palo Alto Networks ตอบข้อสงสัยนี้ว่า จริงๆ แล้วผู้พัฒนาแอพพลิเคชันไม่ได้เป็นคนใส่มัลแวร์ลงไปในแอพพลิเคชันของตน แต่พวกเขาเหล่านั้นก็ตกเป็นเหยื่อของแฮ็คเกอร์ตัวจริงด้วยเช่นกัน นักวิจัยเชื่อว่า ผู้พัฒนาน่าจะใช้งาน IDE ที่มีมัลแวร์แฝงตัวอยู่ ส่งผลให้มัลแวร์แอบเพิ่ม Iframe เข้าไปใน HTML ทุกหน้าที่สร้างขึ้น ซึ่งบางส่วนก็ถูกฝังลงไปในแอพพลิเคชัน Android หรือบางที Iframe อาจมาจากการใช้ Web-based App Generator หรือมัลแวร์ Ramnit ก็เป็นได้ ต้องตรวจสอบรายละเอียดต่อไป

นอกจากนี้ ผู้พัฒนาแอพพลิเคชันทั้ง 132 แอพนี้ รวม 7 คน เป็นผู้พัฒนาจากอินโดนีเซียทั้งหมด จึงเป็นไปได้สูงว่าพวกเขาจะติดมัลแวร์ผ่านทางไฟล์ Torrent หรือตกเป็นเหยื่อของแคมเปญการแพร่กระจายมัลแวร์ภายในประเทศของตน

ที่มา: https://www.bleepingcomputer.com/news/security/132-google-play-store-apps-infected-by-windows-malware/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Intel เผยชิปประมวลผล 14th กำลังจะมาในธันวาคมนี้

Intel ได้ให้ข้อมูลเกี่ยวกับชิปรุ่นถัดไปหรือ 14th ที่ใช้ชื่อโค้ดว่า ‘Meteor Lake’ โดยคาดว่าจะปล่อยออกมาราวเดือนธันวาคมนี้ เพื่อกรุยทางต้อนรับงาน CES ต้นปีถัดไป ครั้งนี้มีรายละเอียดเชิงลึกเกี่ยวกับสถาปัตยกรรมทั้งแนวคิดการออกแบบที่เป็น Chiplet และส่วนประกอบต่างๆ รวมถึงแนวคิดการทำงานของ E-core …

Linux Foundation เปิดตัว Unified Acceleration Foundation

Linux Foundation เปิดตัว Unified Acceleration Foundation สร้างมาตรฐานกลางสำหรับ Accelerator Programming