Black Hat Asia 2023

ระวัง !! แอพมัลแวร์เลียนแบบไอคอน Google Play

fireeye_logo

ช่วงนี้มีข่าวมัลแวร์บน Android มาถี่ๆกันเลยนะครับ ลำบากแย่เลยเน๊อะสำหรับคนใช้ระบบปฏิบัติการนี้ ฮี่ๆๆๆ

Google และ FireEye บริษัทชั้นนำของโลกด้านการป้องกันภัยคุกคามขั้นสูง (Advanced Theats Protection) แจ้งเตือนมานะครับว่า ตอนนี้มีแอพพลิเคชันที่แฝงมัลแวร์ระบาดอยู่บน Android โดยมันจะใช้ไอคอนเดียวกับ Google Play ซึ่งถ้าเหยื่อกดใช้งานเมื่อไหร่ มันก็จะขโมยข้อมูลบัญชีธนาคารบนมือถือของเหยื่อทันที

รายงานล่าสุดตอนนี้ พบว่าใน 30 วันที่ผ่านมา มีเหยื่อที่เผลอติดมัลแวร์ตัวนี้ไปแล้วไม่ต่ำกว่า 200 คน ส่วนใหญ่จะเป็นคนเกาหลี และมีโปรแกรมแอนตี้ไวรัสเพียง 3 จาก 51 โปรแกรมเท่านั้นที่สามารถตรวจจับมัลแวร์ตัวนี้ได้ ซึ่งจากรายงานของ FireEye ระบุว่า “มันเป็นเรื่องยากสำหรับแอนตี้ไวรัสที่จะตรวจจับมัลแวร์ชนิดนี้ เนื่องจากมันถูกเข้ารหัสซ่อนตัวอยู่หลัง User Interface ของแอพพลิเคชัน”

แอพมัลแวร์ดังกล่าวใช้ไอคอนเดียวกับ Google Play และใช้ชื่อว่า ‘Google App Stoy’ มันจะถูกติดตั้งอยู่ที่หน้า Home Screen เพื่อหลอกเหยื่อให้กดใช้มันแทน Google Play ซึ่งเมื่อเหยื่อเผลอกดเข้าไป และ Activate มันเมื่อไหร่ มันก็จะขโมยข้อมูล Text Message, Signature Certificate และข้อมูล Online Banking บนอุปกรณ์ของเหยื่อทันที

แอพมัลแวร์ Google Play Stoy บนหน้า Home
แอพมัลแวร์ Google Play Stoy บนหน้า Home

นอกจากนี้ ยังไม่สามารถ Uninstall ออกได้โดยสมบูรณ์ เนื่องจากมันจะหลอกผู้ใช้ว่า เกิดความผิดปกติขึ้น จำเป็นต้อง uninstall ตัวเองออก พร้อมแสดง Error Message บนหน้าจอ อย่างไรก็ตาม ถึงแม้ว่าแอพมัลแวร์ตัวนี้จะหายไปจากหน้าจอแล้ว มันยังคงรันเป็น Background process และรวบรวมข้อมูลของเหยื่อส่งอีเมลล์ไปหาแฮ็คเกอร์ผ่าน Gmail (ถึงจะ Kill service ไป เมื่อผู้ใช้รีสตาร์ทเครื่อง มันก็จะรีสตาร์ทตัวเองด้วยเช่นกัน โหดมว๊ากก)

Background services ของ Google Play Stoy
Background services ของ Google Play Stoy

FireEye ยังให้ข้อมูลอีกว่า แอพมัลแวร์ Google Play Stoy นี้ ไม่มีให้ดาวน์โหลดผ่านทาง Google Play Store แต่ยังไม่ทราบที่มาแน่ชัดว่า ผู้ใช้ Andorid ดาวน์โหลดแอพมัลแวร์นี้มาด้วยวิธีใด ขณะนี้ทีม FireEye ทำได้เพียงร่วมมือกับทีม Gmail เพื่อปิดกั้น Gmail Account ของแฮ็คเกอร์ที่รับข้อมูลจากแอพมัลแวร์ดังกล่าว

รายละเอียดเชิงเทคนิคจาก FireEye: http://www.fireeye.com/blog/technical/2014/06/what-are-you-doing-dsencrypt-malware.html

ที่มา: http://www.darkreading.com/mobile/malicious-google-play-clone-steals-banking-credentials/d/d-id/1278692


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบ ‘HinataBot’ บอทเน็ตที่อาจสร้างการโจมตี DDoS ขนาด 3.3 Tbps ได้

พบมัลแวร์บอตเน็ตใหม่ HinataBot มุ่งเป้าโจมตี Realtek SDK, Huawei Router และ Hadoop YARN Server เพื่อรวมการโจมตีที่อาจสร้าง Distributed Denial of …

HPE เข้าซื้อกิจการ OpsRamp ผู้พัฒนาระบบ Infrastucture Monitoring

Hewlett Packard Enterprise Co. ประกาศเข้าซื้อกิจการ OpsRamp Inc. บริษัทสตาร์ทอัพผู้พัฒนาระบบ Infrastucture Monitoring

Leave a Reply