Black Hat Asia 2023

132 แอพใน Google Play Store มีมัลแวร์ซ่อนอยู่ นักวิจัยเชื่อผู้พัฒนาถูกแฮ็ค

นักวิจัยด้านความมั่นคงปลอดภัยจาก Palo Alto Networks ออกมาแจ้งเตือนถึงการค้นพบร่องรอยของมัลแวร์ Windows ที่แฝงตัวอยู่ในแอพพลิเคชันบน Android รวมแล้ว 132 แอพ ซึ่งเปิดให้ผู้ใช้ดาวน์โหลดผ่าน Google Play Store เชื่อว่าไม่ได้มาจากฝีมือผู้พัฒนา แต่มาจากการที่ผู้พัฒนาเหล่านั้นถูกแฮ็ค

จากการตรวจสอบพบว่าแอพพลิเคชันเหล่านี้มี Iframe ขนาดเล็กซ่อนอยู่ในซอร์สโค้ด HTML พร้อมเตรียมเชื่อมต่อกับ C&C Server ของแฮ็คเกอร์เพื่อดาวน์โหลด Payload มาติดตั้ง อย่างไรก็ตาม ขณะที่นักวิจัยค้นพบร่องรอยมัลแวร์ของแอพพลิเคชันเหล่านั้น C&C Server ทั้งหมดหยุดให้บริการไปแล้ว แต่จากการตรวจสอบพบว่า Server เหล่านั้นมีประวัติเกี่ยวกับการดำเนินการอันไม่พึงประสงค์ เช่น มีส่วนร่วมในแคมเปญการแพร่กระจายมัลแวร์บน Windows

นอกจากการซ่อน Iframe ไว้ในซอร์สโค้ด แอพพลิเคชันบางแอพยังซ่อน VBScript ไว้ด้วยเช่นกัน โดยโค้ด VBScript ดังกล่าวจะพยายามติดตั้งไฟล์ EXE ที่ Encode แบบ Base64 ลงบนอุปกรณ์ Android ของผู้ใช้ ซึ่งแน่นอนว่าไฟล์ EXE นั้นไม่สามารถทำอันตรายอุปกรณ์ได้ เนื่องจากไม่ใช่ระบบปฏิบัติการ Windows ที่สำคัญคือ C&C Server ที่ติดต่อก็หยุดให้บริการไปแล้วเช่นกัน นักวิจัยจาก Palo Alto Networks ระบุว่า ในกรณีที่ไฟล์ดังกล่าวสามารถทำงานได้ มันจะดำเนินการแก้ไขไฟล์ที่ใช้ตั้งค่าระบบเครือข่าย เปลี่ยนการตั้งค่าไฟร์วอลล์ แทรกโค้ดแปลกปลอมเข้าไปในโปรเซส และแพร่กระจายตัวเองไปยังอุปกรณ์อื่นๆ

เป็นที่น่าแปลกใจมาว่า ทำไม C&C Server ทั้งหมดถึงหยุดให้บริการ รวมไปถึงพยายามติดตั้งมัลแวร์ Windows ลงบนอุปกรณ์ Android นักวิจัยจาก Palo Alto Networks ตอบข้อสงสัยนี้ว่า จริงๆ แล้วผู้พัฒนาแอพพลิเคชันไม่ได้เป็นคนใส่มัลแวร์ลงไปในแอพพลิเคชันของตน แต่พวกเขาเหล่านั้นก็ตกเป็นเหยื่อของแฮ็คเกอร์ตัวจริงด้วยเช่นกัน นักวิจัยเชื่อว่า ผู้พัฒนาน่าจะใช้งาน IDE ที่มีมัลแวร์แฝงตัวอยู่ ส่งผลให้มัลแวร์แอบเพิ่ม Iframe เข้าไปใน HTML ทุกหน้าที่สร้างขึ้น ซึ่งบางส่วนก็ถูกฝังลงไปในแอพพลิเคชัน Android หรือบางที Iframe อาจมาจากการใช้ Web-based App Generator หรือมัลแวร์ Ramnit ก็เป็นได้ ต้องตรวจสอบรายละเอียดต่อไป

นอกจากนี้ ผู้พัฒนาแอพพลิเคชันทั้ง 132 แอพนี้ รวม 7 คน เป็นผู้พัฒนาจากอินโดนีเซียทั้งหมด จึงเป็นไปได้สูงว่าพวกเขาจะติดมัลแวร์ผ่านทางไฟล์ Torrent หรือตกเป็นเหยื่อของแคมเปญการแพร่กระจายมัลแวร์ภายในประเทศของตน

ที่มา: https://www.bleepingcomputer.com/news/security/132-google-play-store-apps-infected-by-windows-malware/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

MFEC: พลิกโฉมการจัดการ Infrastructure ตอบโจทย์ Modernize Application ด้วย VMware Tanzu

แนวคิดการยกเครื่องแอปพลิเคชันเดิมสู่บริบทของการทำงานสมัยใหม่หรือที่เรียกว่า Modernization นั้นเริ่มกลายเป็นนโยบายหลักขององค์กร เนื่องจากหลายปีที่ผ่านมาการก้าวเข้ามาของเทคโนโลยี Container นั้นได้สนับสนุนให้แนวคิดนี้ทำได้สะดวกขึ้น อีกทั้งยังช่วยให้แอปพลิเคชันสามารถนำพลังจากเทคโนโลยีคลาวด์มาใช้ได้อย่างเกิดประโยชน์สูงสุด แต่ในความเป็นจริงแล้วผู้ดูแลระบบไอทีขององค์กรกลับกำลังเผชิญกับความท้าทายมากมาย ซึ่ง VMware Tanzu คือแพลตฟอร์มที่จะช่วยให้องค์กรสามารถบรรลุเป้าหมายของการทำ Modernization ประสบความสำเร็จได้ โดยที่ยังรักษาระบบการทำงานแบบเดิม …

บริหารจัดการ Multi-Cloud ครบวงจรอย่างมั่นใจ ด้วย VMware Aria จาก Fujitsu

แม้ Multi-Cloud จะไม่ใช่เรื่องใหม่สำหรับธุรกิจองค์กรแล้วในทุกวันนี้ แต่การบริหารจัดการ Multi-Cloud ให้มีประสิทธิภาพได้อย่างรอบด้านนั้นก็ยังคงเป็นความท้าทายของผู้บริหารฝ่าย IT ในหลายองค์กร เพราะ Cloud แต่ละระบบนั้นต่างก็มีความแตกต่างในเชิงรายละเอียด และยากต่อการรวบรวมข้อมูลการใช้งานมาวิเคราะห์แบบรวมศูนย์