TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
นักวิจัยด้านความมั่นคงปลอดภัยบนมือถือจาก Avast และ Trend Micro ค้นพบมัลแวร์บน Android บน Play Store ที่มีฟีเจอร์เพื่อขโมย Facebook Credentials ให้ชื่อมัลแวร์ตัวนี้ว่า GhostTeam ซึ่งปรากฏขึ้นตั้งแต่เมษายนปีที่แล้วแต่ Google เพิ่งจะลบแอปพลิเคชัน 53 รายการออกเนื่องจากมีส่วนเกี่ยวข้องกับการแพร่มัลแวร์ชนิดนี้
สิ่งที่เกิดขึ้นคือเริ่มจากหลอกให้ผู้ใช้ดาวน์โหลดแอปพลิเคชันบน Google Play Store มาติดตั้งก่อน แอปพลิเคชันดังกล่าวจะเป็นแอปพลิเคชันที่ดูเหมือนไม่มีพิษมีภัย ไม่ได้ทำอันตรายแก่ตัวเครื่องโดยตรง แต่จะทำหน้าที่เป็น Dropper ซึ่งจะติดต่อกับ C&C Server เพื่อทำการดาวน์โหลดและติดตั้งแอปพลิเคชันอีกตัวหนึ่งซึ่งมีมัลแวร์ GhostTeam แฝงตัวอยู่ ผ่านทางการแจ้งเตือนผู้ใช้ว่ามีปัญหาเกี่ยวกับความมั่นคงปลอดภัย จำเป็นต้องดาวน์โหลดแอปมาติดตั้งเพิ่มเติมและต้องใช้สิทธิ์ Admin
อีกฟีเจอร์หนึ่งคือมัลแวร์ทำการขโมยข้อมูลจากหน้าล็อกอินจริงของ Facebook โดยขั้นตอนคือมันจะคอยตรวจจับการเปิดแอปพลิเคชัน Facebook จริง จากนั้นจะทำการเปิดหน้าล็อกอินใน Headless Browser (ควบคุมหน้าเว็บเพจโดยไม่ต้องใช้ GUI) เช่น WebView หรือ WebChromeClient (คือการเรียกใช้ Browser ที่อยู่ในแอปพลิเคชันเอง ไม่เหมือน Chrome ที่ต้องไปติดตั้งต่างหาก) ซึ่งแอปพลิเคชันที่ติดมัลแวร์ GhostTeam จะทำการโหลดหน้าเพจล็อกอิน Facebook จริงภายในแอปพลิเคชันแต่ว่ามันจะโหลด JavaScirpt อันตรายมาเพิ่มเติมเพื่อเก็บ Credentials ของ Facebook ด้วยเช่นกันและมันจะถูกส่งต่อไปหาเซิร์ฟเวอร์ของผู้โจมตีต่อไป เนื่องจากปฏิบัติการทั้งหมดเกิดอย่างถูกต้องผ่านทางเพจล็อกอินจริงและแอปพลิเคชันที่ถูกต้องทั้งหมด ดังนั้นผลิตภัณฑ์ด้านความมั่นคงปลอดภัยบนมือถือจะไม่สามารถจับการขโมย Credentials นี่ได้เลย
ทางผู้เชี่ยวชาญจาก Trend Micro และ Avast คาดว่ามัลแวร์ตัวนี้ถูกสร้างโดยชาวเวียดนามเนื่องจากมีการตั้งค่าที่ติดมากับแอปพลิเคชันเป็นภาษาเวียดนามและมีการเชื่อมต่อไปยัง IP เซิร์ฟเวอร์ที่เวียดนามด้วย อย่างไรก็ตามแม้ว่า Google จะทำการลบแอปพลิเคชันที่แพร่ GhostTeam แล้วแต่ผู้ใช้ที่โหลดแอปพลิเคชันไปแล้วยังมีผลอยู่ ดังนั้นสามารถเข้าไปเช็ครายชื่อแอปพลิเคชันที่ได้รับผลกระทบที่นี่ นอกจากนี้หลังลบแอปพลิเคชันออกแล้วควรจะเปลี่ยน Credentials ของ Facebook ทันทีและเปิดใช้งาน Two-factor Authentication กับ Facebook ด้วย
ที่มา : https://www.bleepingcomputer.com/news/security/ghostteam-android-malware-can-steal-facebook-credentials/ และ https://www.scmagazine.com/vietnamese-adware-dubbed-ghostteam-spotted-in-several-google-play-apps/article/737779/
