เตือนแอปพลิเคชัน WhatsApp ปลอมถูกดาวน์โหลดไปแล้วกว่าล้านครั้ง

มีผู้ใช้งานได้รายงานผ่าน Reddit ว่าค้นพบแอปพลิเคชันชื่อ ‘Update WhatsApp’ เป็น Unwanted Application หรือแอปพลิเคชันที่มีจุดประสงค์ที่ไม่ชัดเจน พยายามที่จะดาวน์โหลด Android APK มาติดตั้งในอุปกรณ์

ผู้ใช้ได้แจ้งว่า “ผมติดตั้งแอปพลิเคชันซึ่งใช้สิทธิ์ในระดับต่ำสุดแล้ว ลองดูกระบวนการของโปรแกรม ปรากฏว่ามันพยายามที่จะไปดาวน์โหลด APK ตัวที่สองเข้ามาที่มีชื่อว่า whatsapp.apk นอกจากนั้นมันยังพยายามหลบเลี่ยงตัวเองด้วยการไม่ใส่ชื่อหัวข้อและเป็นไอคอนเปล่าๆ “

ผู้ใช้งานใน Reddit คนหนึ่งนามแฝงคือ rookie_e ชี้ให้เห็นถึงจุดสังเกตของแอปพลิเคชันนี้ คือมีช่องว่างหลังชื่อ “WhatsApp Inc.” ช่องว่างนี้ถูกแทนที่ด้วย Hex Code C2A0 นั่นทำให้มันหลุดรอดจากการตรวจสอบด้วยการสแกนมัลแวร์ของ Google กล่าวคือ แอปพลิเคชันทั่วไปที่ส่งให้ Google Play จะถูกตรวจสอบมัลแวร์และดูพฤติกรรมก่อนเป็นอันดับแรกก่อนที่จะออกสู่ตลาด เมื่อเดือนพฤษภาคมที่ผ่านมา Google ได้ออกฟีเจอร์ใหม่ชื่อ Play Protect เพื่อที่จะดูแลเนื้อหาที่ถูกดาวน์โหลดไปบนอุปกรณ์ Android เพื่อป้องกันแอปพลิเคชันที่ไปเชื่อมต่อและดาวน์โหลดส่วนประกอบอื่นๆ ของมัลแวร์ในภายหลัง โดย Google อ้างว่าฟีเจอร์นี้สามารถสแกนและตรวจสอบได้ถึง 5 หมื่นล้านแอปพลิเคชันต่อวัน นอกจากนี้ Google ยืนยันว่าได้ลบแอปพลิเคชันดังกล่าวออกแล้ว

ทั้งที่ Google ได้ออกเอกสารอ้างถึงความสำเร็จในการกวาดล้างแอปพลิเคชันที่มีจุดประสงค์ไม่ชัดเจนหรือมีจุดประสงค์ร้ายออกไปแล้วก็ตาม แต่นี่คือหนึ่งในแอปพลิเคชันที่รอดมาได้ คล้ายกับเหตุการณ์ในอดีตที่นักพัฒนาใช้การ Hidden Unicode Character เพื่อทำให้เหมือนเป็นแอปพลิเคชันปกติ

การใช้งาน Unicode เหล่านี้เปิดโอกาสให้นักพัฒนาที่ต้องการผ่านการตรวจสอบแอปพลิเคชัน Extension ของ Google Play หรือ Chrome สามารถหลบหลีกการตรวจสอบไปได้ เมื่อ 3 อาทิตย์ก่อน Google ได้ลบส่วนต่อขยายของ Chrome ไปตัวหนึ่งที่ถูกเปิดเผยโดยผู้ใช้งานในทวิตเตอร์รายหนึ่งชื่อ ‘Swift on Security Twitter’ และ Extension อีก 2 ตัว ตัวหนึ่งถูกดาวน์โหลดไปแล้วกว่า 10 ล้านครั้ง ผู้พัฒนาได้ใช้งาน Cyrillic Unicode characters ในชื่อของ Extension เพื่อหลบเลี่ยงการตรวจสอบมัลแวร์ของ Google อีกกรณีนึงผู้โจมตีใช้วิธีการใส่ Unicode Character เพิ่มหลบเลี่ยงการตรวจจับชื่อที่ทำให้ผู้ใช้งานหลงเชื่อนึกว่าเป็นแอปพลิเคชันทั่วไป Google ได้ทำการแพตซ์ความบกพร่องนี้บน Chrome เมื่อเดือนเมษายนที่ผ่านมาเพื่อป้องกันอันตรายเหล่านี้ ช่องโหว่ที่มีชื่อว่า Punycode มีลักษณะคล้ายๆ กันนี้ โดยให้ Chrome พาผู้ใช้งานไปหน้าไซต์ที่ดูเหมือนว่าถูกต้องแล้วก็หลอกให้ผู้ใช้กรอกรหัสผ่านหรือ Credential ด้านการเงินลงไป

ที่มาและเครดิตรูปภาพ : https://threatpost.com/1m-downloads-later-google-pulls-phony-whatsapp-from-google-play/128778/





About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Drupal ออกอัปเดตเวอร์ชัน 8.4.5 และ 7.57 อุดช่องโหว่ระดับ Critical

Drupal ระบบ Content Management System (CMS) ชื่อดัง ได้ประกาศปล่อยอัปเดตเวอร์ชัน 8.4.5 และ 7.57 อุดช่องโหว่ระดับ Critical

VMware ออก Reference Architecture แนะนำการใช้งาน VMware Horizon 7 Enterprise Edition

VMware ออกเอกสาร Reference Architecture แนะนำการใช้งาน VMware Horizon 7 Enterprise Edition