TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ช่วงนี้มีข่าวมัลแวร์บน Android มาถี่ๆกันเลยนะครับ ลำบากแย่เลยเน๊อะสำหรับคนใช้ระบบปฏิบัติการนี้ ฮี่ๆๆๆ
Google และ FireEye บริษัทชั้นนำของโลกด้านการป้องกันภัยคุกคามขั้นสูง (Advanced Theats Protection) แจ้งเตือนมานะครับว่า ตอนนี้มีแอพพลิเคชันที่แฝงมัลแวร์ระบาดอยู่บน Android โดยมันจะใช้ไอคอนเดียวกับ Google Play ซึ่งถ้าเหยื่อกดใช้งานเมื่อไหร่ มันก็จะขโมยข้อมูลบัญชีธนาคารบนมือถือของเหยื่อทันที
รายงานล่าสุดตอนนี้ พบว่าใน 30 วันที่ผ่านมา มีเหยื่อที่เผลอติดมัลแวร์ตัวนี้ไปแล้วไม่ต่ำกว่า 200 คน ส่วนใหญ่จะเป็นคนเกาหลี และมีโปรแกรมแอนตี้ไวรัสเพียง 3 จาก 51 โปรแกรมเท่านั้นที่สามารถตรวจจับมัลแวร์ตัวนี้ได้ ซึ่งจากรายงานของ FireEye ระบุว่า “มันเป็นเรื่องยากสำหรับแอนตี้ไวรัสที่จะตรวจจับมัลแวร์ชนิดนี้ เนื่องจากมันถูกเข้ารหัสซ่อนตัวอยู่หลัง User Interface ของแอพพลิเคชัน”
แอพมัลแวร์ดังกล่าวใช้ไอคอนเดียวกับ Google Play และใช้ชื่อว่า ‘Google App Stoy’ มันจะถูกติดตั้งอยู่ที่หน้า Home Screen เพื่อหลอกเหยื่อให้กดใช้มันแทน Google Play ซึ่งเมื่อเหยื่อเผลอกดเข้าไป และ Activate มันเมื่อไหร่ มันก็จะขโมยข้อมูล Text Message, Signature Certificate และข้อมูล Online Banking บนอุปกรณ์ของเหยื่อทันที
นอกจากนี้ ยังไม่สามารถ Uninstall ออกได้โดยสมบูรณ์ เนื่องจากมันจะหลอกผู้ใช้ว่า เกิดความผิดปกติขึ้น จำเป็นต้อง uninstall ตัวเองออก พร้อมแสดง Error Message บนหน้าจอ อย่างไรก็ตาม ถึงแม้ว่าแอพมัลแวร์ตัวนี้จะหายไปจากหน้าจอแล้ว มันยังคงรันเป็น Background process และรวบรวมข้อมูลของเหยื่อส่งอีเมลล์ไปหาแฮ็คเกอร์ผ่าน Gmail (ถึงจะ Kill service ไป เมื่อผู้ใช้รีสตาร์ทเครื่อง มันก็จะรีสตาร์ทตัวเองด้วยเช่นกัน โหดมว๊ากก)
FireEye ยังให้ข้อมูลอีกว่า แอพมัลแวร์ Google Play Stoy นี้ ไม่มีให้ดาวน์โหลดผ่านทาง Google Play Store แต่ยังไม่ทราบที่มาแน่ชัดว่า ผู้ใช้ Andorid ดาวน์โหลดแอพมัลแวร์นี้มาด้วยวิธีใด ขณะนี้ทีม FireEye ทำได้เพียงร่วมมือกับทีม Gmail เพื่อปิดกั้น Gmail Account ของแฮ็คเกอร์ที่รับข้อมูลจากแอพมัลแวร์ดังกล่าว
รายละเอียดเชิงเทคนิคจาก FireEye: http://www.fireeye.com/blog/technical/2014/06/what-are-you-doing-dsencrypt-malware.html
