ระวัง !! แอพมัลแวร์เลียนแบบไอคอน Google Play

fireeye_logo

ช่วงนี้มีข่าวมัลแวร์บน Android มาถี่ๆกันเลยนะครับ ลำบากแย่เลยเน๊อะสำหรับคนใช้ระบบปฏิบัติการนี้ ฮี่ๆๆๆ

Google และ FireEye บริษัทชั้นนำของโลกด้านการป้องกันภัยคุกคามขั้นสูง (Advanced Theats Protection) แจ้งเตือนมานะครับว่า ตอนนี้มีแอพพลิเคชันที่แฝงมัลแวร์ระบาดอยู่บน Android โดยมันจะใช้ไอคอนเดียวกับ Google Play ซึ่งถ้าเหยื่อกดใช้งานเมื่อไหร่ มันก็จะขโมยข้อมูลบัญชีธนาคารบนมือถือของเหยื่อทันที

รายงานล่าสุดตอนนี้ พบว่าใน 30 วันที่ผ่านมา มีเหยื่อที่เผลอติดมัลแวร์ตัวนี้ไปแล้วไม่ต่ำกว่า 200 คน ส่วนใหญ่จะเป็นคนเกาหลี และมีโปรแกรมแอนตี้ไวรัสเพียง 3 จาก 51 โปรแกรมเท่านั้นที่สามารถตรวจจับมัลแวร์ตัวนี้ได้ ซึ่งจากรายงานของ FireEye ระบุว่า “มันเป็นเรื่องยากสำหรับแอนตี้ไวรัสที่จะตรวจจับมัลแวร์ชนิดนี้ เนื่องจากมันถูกเข้ารหัสซ่อนตัวอยู่หลัง User Interface ของแอพพลิเคชัน”

แอพมัลแวร์ดังกล่าวใช้ไอคอนเดียวกับ Google Play และใช้ชื่อว่า ‘Google App Stoy’ มันจะถูกติดตั้งอยู่ที่หน้า Home Screen เพื่อหลอกเหยื่อให้กดใช้มันแทน Google Play ซึ่งเมื่อเหยื่อเผลอกดเข้าไป และ Activate มันเมื่อไหร่ มันก็จะขโมยข้อมูล Text Message, Signature Certificate และข้อมูล Online Banking บนอุปกรณ์ของเหยื่อทันที

แอพมัลแวร์ Google Play Stoy บนหน้า Home
แอพมัลแวร์ Google Play Stoy บนหน้า Home

นอกจากนี้ ยังไม่สามารถ Uninstall ออกได้โดยสมบูรณ์ เนื่องจากมันจะหลอกผู้ใช้ว่า เกิดความผิดปกติขึ้น จำเป็นต้อง uninstall ตัวเองออก พร้อมแสดง Error Message บนหน้าจอ อย่างไรก็ตาม ถึงแม้ว่าแอพมัลแวร์ตัวนี้จะหายไปจากหน้าจอแล้ว มันยังคงรันเป็น Background process และรวบรวมข้อมูลของเหยื่อส่งอีเมลล์ไปหาแฮ็คเกอร์ผ่าน Gmail (ถึงจะ Kill service ไป เมื่อผู้ใช้รีสตาร์ทเครื่อง มันก็จะรีสตาร์ทตัวเองด้วยเช่นกัน โหดมว๊ากก)

Background services ของ Google Play Stoy
Background services ของ Google Play Stoy

FireEye ยังให้ข้อมูลอีกว่า แอพมัลแวร์ Google Play Stoy นี้ ไม่มีให้ดาวน์โหลดผ่านทาง Google Play Store แต่ยังไม่ทราบที่มาแน่ชัดว่า ผู้ใช้ Andorid ดาวน์โหลดแอพมัลแวร์นี้มาด้วยวิธีใด ขณะนี้ทีม FireEye ทำได้เพียงร่วมมือกับทีม Gmail เพื่อปิดกั้น Gmail Account ของแฮ็คเกอร์ที่รับข้อมูลจากแอพมัลแวร์ดังกล่าว

รายละเอียดเชิงเทคนิคจาก FireEye: http://www.fireeye.com/blog/technical/2014/06/what-are-you-doing-dsencrypt-malware.html

ที่มา: http://www.darkreading.com/mobile/malicious-google-play-clone-steals-banking-credentials/d/d-id/1278692


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Dell เสริมความสามารถให้ Apex ตอบโจทย์ Multi-Cloud ได้ดียิ่งขึ้น

Dell Technologies ได้ออกมาประกาศเปิดตัวความสามารถใหม่ด้าน Multi-Cloud ให้กับผลิตภัณฑ์ตระกูล Apex เพื่อช่วยให้ธุรกิจองค์กรสามารถก้าวเข้าสู่โลกของ Multi-Cloud ได้ดียิ่งขึ้น ดังนี้

รู้จัก Workato – Integration & Automation Platform ที่ช่วยเชื่อมต่อแอปพลิเคชันและธุรกิจให้ทำงานได้โดยอัตโนมัติ

องค์กรยุคดิจิทัลในปัจจุบันมีการนำแอปพลิเคชันมาประยุกต์ใช้เป็นจำนวนมาก แต่มีเพียงส่วนน้อยที่ผสานการทำงานระหว่างแอปพลิเคชัน ฐานข้อมูล และระบบขององค์กรเข้าด้วยกัน ทำให้ต้องเสียเวลาและพลาดโอกาสหลายๆ อย่างไป Gopomelo ผู้นำด้านการทำ Digital Transformation ให้แก่องค์กรธุรกิจ จึงได้จับมือกับ Workato เพื่อให้บริการ Integration …

Leave a Reply