CDIC 2023

ระวัง !! แอพมัลแวร์เลียนแบบไอคอน Google Play

fireeye_logo

ช่วงนี้มีข่าวมัลแวร์บน Android มาถี่ๆกันเลยนะครับ ลำบากแย่เลยเน๊อะสำหรับคนใช้ระบบปฏิบัติการนี้ ฮี่ๆๆๆ

Google และ FireEye บริษัทชั้นนำของโลกด้านการป้องกันภัยคุกคามขั้นสูง (Advanced Theats Protection) แจ้งเตือนมานะครับว่า ตอนนี้มีแอพพลิเคชันที่แฝงมัลแวร์ระบาดอยู่บน Android โดยมันจะใช้ไอคอนเดียวกับ Google Play ซึ่งถ้าเหยื่อกดใช้งานเมื่อไหร่ มันก็จะขโมยข้อมูลบัญชีธนาคารบนมือถือของเหยื่อทันที

รายงานล่าสุดตอนนี้ พบว่าใน 30 วันที่ผ่านมา มีเหยื่อที่เผลอติดมัลแวร์ตัวนี้ไปแล้วไม่ต่ำกว่า 200 คน ส่วนใหญ่จะเป็นคนเกาหลี และมีโปรแกรมแอนตี้ไวรัสเพียง 3 จาก 51 โปรแกรมเท่านั้นที่สามารถตรวจจับมัลแวร์ตัวนี้ได้ ซึ่งจากรายงานของ FireEye ระบุว่า “มันเป็นเรื่องยากสำหรับแอนตี้ไวรัสที่จะตรวจจับมัลแวร์ชนิดนี้ เนื่องจากมันถูกเข้ารหัสซ่อนตัวอยู่หลัง User Interface ของแอพพลิเคชัน”

แอพมัลแวร์ดังกล่าวใช้ไอคอนเดียวกับ Google Play และใช้ชื่อว่า ‘Google App Stoy’ มันจะถูกติดตั้งอยู่ที่หน้า Home Screen เพื่อหลอกเหยื่อให้กดใช้มันแทน Google Play ซึ่งเมื่อเหยื่อเผลอกดเข้าไป และ Activate มันเมื่อไหร่ มันก็จะขโมยข้อมูล Text Message, Signature Certificate และข้อมูล Online Banking บนอุปกรณ์ของเหยื่อทันที

แอพมัลแวร์ Google Play Stoy บนหน้า Home
แอพมัลแวร์ Google Play Stoy บนหน้า Home

นอกจากนี้ ยังไม่สามารถ Uninstall ออกได้โดยสมบูรณ์ เนื่องจากมันจะหลอกผู้ใช้ว่า เกิดความผิดปกติขึ้น จำเป็นต้อง uninstall ตัวเองออก พร้อมแสดง Error Message บนหน้าจอ อย่างไรก็ตาม ถึงแม้ว่าแอพมัลแวร์ตัวนี้จะหายไปจากหน้าจอแล้ว มันยังคงรันเป็น Background process และรวบรวมข้อมูลของเหยื่อส่งอีเมลล์ไปหาแฮ็คเกอร์ผ่าน Gmail (ถึงจะ Kill service ไป เมื่อผู้ใช้รีสตาร์ทเครื่อง มันก็จะรีสตาร์ทตัวเองด้วยเช่นกัน โหดมว๊ากก)

Background services ของ Google Play Stoy
Background services ของ Google Play Stoy

FireEye ยังให้ข้อมูลอีกว่า แอพมัลแวร์ Google Play Stoy นี้ ไม่มีให้ดาวน์โหลดผ่านทาง Google Play Store แต่ยังไม่ทราบที่มาแน่ชัดว่า ผู้ใช้ Andorid ดาวน์โหลดแอพมัลแวร์นี้มาด้วยวิธีใด ขณะนี้ทีม FireEye ทำได้เพียงร่วมมือกับทีม Gmail เพื่อปิดกั้น Gmail Account ของแฮ็คเกอร์ที่รับข้อมูลจากแอพมัลแวร์ดังกล่าว

รายละเอียดเชิงเทคนิคจาก FireEye: http://www.fireeye.com/blog/technical/2014/06/what-are-you-doing-dsencrypt-malware.html

ที่มา: http://www.darkreading.com/mobile/malicious-google-play-clone-steals-banking-credentials/d/d-id/1278692


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[โปรพิเศษรอบ Early Bird] คอร์สเรียน ‘Incident Response’ จาก Sosecure เรียนออนไลน์ เน้นลงมือจริง 3 วันเต็ม

Incident Response เป็นหนึ่งในหัวข้อหลักของแผนการที่ทุกองค์กรควรมือ คำถามคือทุกวันนี้องค์กรหรือบริษัทที่ท่านมีส่วนรวมมีแผนรับมือเหล่านี้ได้ดีเพียงใด ครอบคลุมความเสี่ยงและเคยผ่านสถานการณ์จริงมาได้ดีแค่ไหน ซึ่งหากปฏิบัติตามแผนได้ดีก็อาจจะช่วยลดผลกระทบของความเสียหายได้อย่างมีนัยสำคัญ ด้วยเหตุนี้เองจึงอยากขอเชิญชวนผู้สนใจทุกท่านมาเพิ่มพูนความรู้ในคอร์สสุดพิเศษจาก Sosecure โดยเนื้อหาจะกล่าวถึง Framework, Incident Response และ Incident Handling …

[โปรพิเศษรอบ Early Bird] คอร์สเรียน ‘Threat Hunting’ จาก Sosecure เรียนออนไลน์ เน้นลงมือจริง 3 วันเต็ม

การต่อกรกับภัยคุกคามทางไซเบอร์ไม่จำเป็นที่จะต้องเป็นฝ่ายตั้งรับเท่านั้น และหากทำได้ดีเราก็สามารถลงมือตอบสนองก่อนเกิดเหตุได้เช่นกัน ยิ่งทำได้เร็วเท่าไหร่ยิ่งดี ซึ่งทีม Threat Hunting มีบทบาทอย่างมากในการทำงานร่วมกับระบบ SoC ซึ่งสามารถใช้ข้อมูลภัยคุกคามจากทั่วทุกมุมโลกมาช่วยตรวจจับการโจมตีที่เกิดขึ้นได้  คำถามคือแล้วในงานเหล่านี้ควรมีทักษะเกี่ยวข้องในด้านไหนบ้าง Sosecure ขอชวนผู้สนใจในสายงานด้าน Cybersecurity ที่ต้องการรู้ลึก ทำได้จริง …

Leave a Reply