CDIC 2023

Check Point พบมัลแวร์บนแอนดรอยด์ปลอมเป็น Netflix และแพร่กระจายผ่าน WhatsApp

Check Point ได้เผยแพร่พฤติกรรมของมัลแวร์ตัวหนึ่งใน Play Store ซึ่งมีความน่าสนใจคือเริ่มต้นจากการล่อลวงเป็นแอปที่ช่วยดู Netflix แต่เมื่อดาวน์โหลดมาแล้วจะสามารถส่งข้อความอัตโนมัติโฆษณาเกี่ยวกับ Netflix ใน WhatsApp เพื่อหาเหยื่อเพิ่ม

credit : Check Point

ไอเดียคือคนร้ายได้โฆษณาแอปพลิเคชันอันตรายที่ชื่อว่า FlixOnline (ตามภาพประกอบ) ซึ่งโฆษณาว่าแอปนี้จะช่วยให้ผู้ใช้สามารถดู Content ของ Netflix จากทั่วโลกได้ อย่างไรก็ดีเมื่อดาวน์โหลดมาแล้วจะเข้าไปมอนิเตอร์การสนทนาของ WhatsApp และสามารถ Auto Reply ด้วยข้อความที่รับมาจากเซิร์ฟเวอร์ควบคุมได้ โดยเนื้อหาที่ทีมงาน Check Point พบก็คือโฆษณาล่อลวงฟรี Netflix Premium 2 เดือน เพื่อกระจายตัวเองต่อไป

เจาะลึกถึงพฤติกรรม

เมื่อเหยื่อติดตั้งแอปพลิเคชัน FlixOnline เข้ามาแล้ว จะมีการขอสิทธิ์ 3 เรื่องคือ

  • Overlay – อนุญาตให้สร้างหน้าต่างอยู่บนแอปพลิเคชันอื่นได้ ซึ่งนิยมกันในคนร้ายที่สร้างหน้าล็อกอินปลอมสำหรับแอปอื่นๆ เพื่อหลอกขโมย Credentials
  • Ignore Battery Optimization – มัลแวร์จะไม่ถูกหยุดแม้จะอยู่ในสถานะ Idle ซึ่งปกติแล้วแอปจะถูกหยุดเมื่อไม่ได้ใช้
  • Notification Listener Service – ช่วยให้มัลแวร์สามารถเข้าถึงทุก Notification ที่เกี่ยวข้องกับข้อความที่เข้ามายังอุปกรณ์ ซึ่งยังเปิดให้มัลแวร์สามารถทำการ Dismiss และ Reply ข้อความได้ 

โดย Check Point ได้สรุปถึงผลลัพธ์ของมัลแวร์ไว้ว่าจะสามารถแพร่กระจายลิงก์อันตรายเพื่อหาเหยื่อต่อในรายชื่อของ WhatsApp หรือการ Auto Reply รวมถึงยังสามารถขโมยข้อมูลผู้ใช้ WhatsApp ได้ ทั้งนี้ Google ได้ลบแอปออกจาก Play Store เป็นที่เรียบร้อยแล้ว ซึ่งทีมงาน Check Point ได้ฝากให้ทุกท่านระมัดระวังการคลิกลิงก์ที่มีความน่าสนใจแม้จะมาจากบุคคลที่น่าเชื่อถือก็ตาม ไม่ว่าจากช่องทางใดเพื่อเป็นการป้องกันตัวเบื้องต้นจากการตกเป็นเหยื่อของมัลแวร์

ที่มา : https://blog.checkpoint.com/2021/04/07/autoreply-attack-new-android-malware-found-in-google-play-store-spreads-via-malicious-auto-replies-to-whatsapp-messages/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft ประกาศเพิ่ม Copilot ลงใน Windows 11

Microsoft ได้ประกาศเพิ่ม Copilot ระบบ AI Chatbot ลงใน Windows 11

Cisco ประกาศเข้าซื้อกิจการ Splunk ด้วยมูลค่า 2.8 หมื่นล้านเหรียญ

Cisco ประกาศเข้าซื้อกิจการ Splunk ด้วยมูลค่า 2.8 หมื่นล้านเหรียญ