เตือนแอปพลิเคชัน WhatsApp ปลอมถูกดาวน์โหลดไปแล้วกว่าล้านครั้ง

มีผู้ใช้งานได้รายงานผ่าน Reddit ว่าค้นพบแอปพลิเคชันชื่อ ‘Update WhatsApp’ เป็น Unwanted Application หรือแอปพลิเคชันที่มีจุดประสงค์ที่ไม่ชัดเจน พยายามที่จะดาวน์โหลด Android APK มาติดตั้งในอุปกรณ์

ผู้ใช้ได้แจ้งว่า “ผมติดตั้งแอปพลิเคชันซึ่งใช้สิทธิ์ในระดับต่ำสุดแล้ว ลองดูกระบวนการของโปรแกรม ปรากฏว่ามันพยายามที่จะไปดาวน์โหลด APK ตัวที่สองเข้ามาที่มีชื่อว่า whatsapp.apk นอกจากนั้นมันยังพยายามหลบเลี่ยงตัวเองด้วยการไม่ใส่ชื่อหัวข้อและเป็นไอคอนเปล่าๆ “

ผู้ใช้งานใน Reddit คนหนึ่งนามแฝงคือ rookie_e ชี้ให้เห็นถึงจุดสังเกตของแอปพลิเคชันนี้ คือมีช่องว่างหลังชื่อ “WhatsApp Inc.” ช่องว่างนี้ถูกแทนที่ด้วย Hex Code C2A0 นั่นทำให้มันหลุดรอดจากการตรวจสอบด้วยการสแกนมัลแวร์ของ Google กล่าวคือ แอปพลิเคชันทั่วไปที่ส่งให้ Google Play จะถูกตรวจสอบมัลแวร์และดูพฤติกรรมก่อนเป็นอันดับแรกก่อนที่จะออกสู่ตลาด เมื่อเดือนพฤษภาคมที่ผ่านมา Google ได้ออกฟีเจอร์ใหม่ชื่อ Play Protect เพื่อที่จะดูแลเนื้อหาที่ถูกดาวน์โหลดไปบนอุปกรณ์ Android เพื่อป้องกันแอปพลิเคชันที่ไปเชื่อมต่อและดาวน์โหลดส่วนประกอบอื่นๆ ของมัลแวร์ในภายหลัง โดย Google อ้างว่าฟีเจอร์นี้สามารถสแกนและตรวจสอบได้ถึง 5 หมื่นล้านแอปพลิเคชันต่อวัน นอกจากนี้ Google ยืนยันว่าได้ลบแอปพลิเคชันดังกล่าวออกแล้ว

ทั้งที่ Google ได้ออกเอกสารอ้างถึงความสำเร็จในการกวาดล้างแอปพลิเคชันที่มีจุดประสงค์ไม่ชัดเจนหรือมีจุดประสงค์ร้ายออกไปแล้วก็ตาม แต่นี่คือหนึ่งในแอปพลิเคชันที่รอดมาได้ คล้ายกับเหตุการณ์ในอดีตที่นักพัฒนาใช้การ Hidden Unicode Character เพื่อทำให้เหมือนเป็นแอปพลิเคชันปกติ

การใช้งาน Unicode เหล่านี้เปิดโอกาสให้นักพัฒนาที่ต้องการผ่านการตรวจสอบแอปพลิเคชัน Extension ของ Google Play หรือ Chrome สามารถหลบหลีกการตรวจสอบไปได้ เมื่อ 3 อาทิตย์ก่อน Google ได้ลบส่วนต่อขยายของ Chrome ไปตัวหนึ่งที่ถูกเปิดเผยโดยผู้ใช้งานในทวิตเตอร์รายหนึ่งชื่อ ‘Swift on Security Twitter’ และ Extension อีก 2 ตัว ตัวหนึ่งถูกดาวน์โหลดไปแล้วกว่า 10 ล้านครั้ง ผู้พัฒนาได้ใช้งาน Cyrillic Unicode characters ในชื่อของ Extension เพื่อหลบเลี่ยงการตรวจสอบมัลแวร์ของ Google อีกกรณีนึงผู้โจมตีใช้วิธีการใส่ Unicode Character เพิ่มหลบเลี่ยงการตรวจจับชื่อที่ทำให้ผู้ใช้งานหลงเชื่อนึกว่าเป็นแอปพลิเคชันทั่วไป Google ได้ทำการแพตซ์ความบกพร่องนี้บน Chrome เมื่อเดือนเมษายนที่ผ่านมาเพื่อป้องกันอันตรายเหล่านี้ ช่องโหว่ที่มีชื่อว่า Punycode มีลักษณะคล้ายๆ กันนี้ โดยให้ Chrome พาผู้ใช้งานไปหน้าไซต์ที่ดูเหมือนว่าถูกต้องแล้วก็หลอกให้ผู้ใช้กรอกรหัสผ่านหรือ Credential ด้านการเงินลงไป

ที่มาและเครดิตรูปภาพ : https://threatpost.com/1m-downloads-later-google-pulls-phony-whatsapp-from-google-play/128778/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

รู้จัก Zero-Touch และ One-Touch Provisioning สองสิ่งที่ทำให้ Aruba SD-Branch ติดตั้งใช้งานได้ง่าย

จุดเด่นหนึ่งของโซลูชัน SD-WAN ที่เป็นสากลนั้นก็คือความง่ายดายในการติดตั้งใช้งาน เพื่อให้การขึ้นระบบ SD-WAN ที่มักกระจายอยู่หลายสาขาในพื้นที่ที่ห่างไกลกันและกันนั้นเป็นไปได้อย่างรวดเร็ว และไม่ต้องอาศัยผู้ที่มีความรู้เชิงเทคนิคในการติดตั้งอุปกรณ์ที่แต่ละสาขา ซึ่ง Aruba SD-Branch ที่ครอบคลุมความสามารถ SD-WAN เองก็สามารถตอบโจทย์เรื่องความง่ายดายนี้ได้ด้วยสองเทคนิคที่มีชื่อว่า Zero-Touch Provisioning (ZTP) และ One-Touch Provisioning (OTP) นั่นเอง

Facebook เผยเริ่มใช้ QUIC และ HTTP/3 กับผู้ใช้งานทั่วโลกกว่า 75% แล้ว

Facebook ได้ออกมาเขียน Technical Blog ถึงการเปลี่ยนการเชื่อมต่อจากผู้ใช้งาน Facebook ให้กลายเป็น QUIC และ HTTP/3 สำเร็จไปแล้วกว่า 75% ของทราฟฟิกที่เชื่อมต่อเข้ามายัง Facebook ทั้งหมดในเวลานี้ และพบว่า QUIC สามารถช่วยให้ประสบการณ์ของผู้ใช้งานดีขึ้นได้เป็นอย่างมาก