Niels Croese นักวิจัยด้านความมั่นคงปลอดภัยจาก Securify B.V ออกมาแจ้งเตือนถึงโทรจันตัวใหม่ ชื่อว่า BankBot ที่แอบแฝงมากับแอพพลิเคชันวิดีโอตลกบน Google Play ชี้พุ่งเป้าขโมยข้อมูลการเงินของลูกค้าธนาคารกว่า 420 แห่งทั่วโลก

Banking Trojan ส่วนใหญ่มักแฝงตัวมากับ Plugin เช่น Flash หรือแอพพลิเคชัน 18+ แต่ BankBot นี้ต่างออกไป โดยแฝงตัวมากับแอพพลิเคชันวิดีโอตลกหลากหลายแอพใน Google Play เช่น Funny Videos 2017 ซึ่ง Croese ได้ทำการวิเคราะห์แอพพลิเคชันดังกล่าว พบว่า เบื้องหลังของแอพพลิเคชันนี้มีความพยายามหลอกขโมยข้อมูลธนาคารของผู้ใช้ที่เป็นลูกค้าธนาคารรวม 425 แห่งทั่วโลก ไม่ว่าจะเป็น Citibank, ING, Barclays และธนาคารใหม่ๆ จากเนเธอร์แลนด์ เช่น ABN, Rabobank, ASN, Regiobank และ Binck เป็นต้น ที่สำคัญคือมีการใช้เครื่องมือ DexProtector เพื่อให้ตรวจสอบโค้ดว่าเป็นมัลแวร์ได้ยากขึ้นอีกด้วย
เมื่อผู้ใช้เผลอโหลดแอพพลิเคชันวิดีโอเหล่านี้มาติดตั้งแล้ว ผู้ใช้สามารถดูวิดีโอตลกได้ตามที่แอพพลิเคชันระบุ แต่เบื้องหลังนั้น แอพพลิเคชันจะคอยดักจับข้อความ SMS และเด้งหน้าต่างขึ้นมาหลอกถามข้อมูลธนาคารเมื่อผู้ใช้เปิดใช้แอพพลิเคชันของธนาคาร 425 แห่งที่แฮ็คเกอร์ได้เขียนโค้ดดักไว้ เสมือนว่าเป็นหน้าต่างที่มาจากแอพพลิเคชันธนาคารเหล่านั้นเอง จากนั้นนำข้อมูลที่ได้อัปโหลดขึ้นไปยังเซิร์ฟเวอร์ของแฮ็คเกอร์
“ปัญหาอีกอย่างหนึ่งคือ Google พึ่งพาระบบสแกนอัตโนมัติมากจนเกินไป โดยไม่ได้เข้าใจถึงวิธีการหลบเลี่ยงในปัจจุบันอย่างแท้จริง ทำให้มี Banking Malware ปรากฏใน Google Play Store มากมาย” — Croese กล่าว
อย่างไรก็ตาม หลังจากที่ทราบรายงานจาก Croese ทีมงานของ Google ก็ได้ลบแอพพลิเคชัน Funny Videos 2017 ออกไปเป็นที่เรียบร้อย แต่เป็นไปได้สูงมากว่ายังมีแอพพลิเคชันจำพวกนี้แฝงตัวอยู่ใน Google Play อีก
ดูรายชื่อธนาคารทั้งหมดที่เป็นเป้าหมายและรายละเอียดเชิงเทคนิคได้ที่: https://securify.nl/blog/SFY20170401/banking_malware_in_google_play_targeting_many_new_apps.html
ที่มา: http://thehackernews.com/2017/04/android-banking-malware.html