Breaking News

เตือนมัลแวร์ GhostTeam บน Android ขโมยข้อมูลล็อกอินของ Facebook

   

Avast! และ Trend Micro สองผู้ให้บริการซอฟต์แวร์ Antivirus ชื่อดัง ออกมาแจ้งเตือนถึงมัลแวร์ GhostTeam ซึ่งแพร่กระจายตัวอยู่ใน Google Play Store รวมแล้วมากกว่า 50 แอปพลิเคชัน ซึ่งช่วยให้แฮ็กเอร์สามารถขโมยข้อมูลล็อกอินของ Facebook และแสดงโฆษณาบนอุปกรณ์ที่ติดมัลแวร์ได้

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของทั้งสองบริษัทระบุว่า มัลแวร์ดังกล่าวแฝงตัวอยู่ในแอปพลิเคชันบน Google Play Store มาตั้งแต่เดือนเมษายนปี 2017 โดยใช้เทคนิคในการแพร่กระจายตัวที่ค่อนข้างใหม่และมีประสิทธิภาพ โดยเริ่มจากหลอกให้ผู้ใช้ดาวน์โหลดแอปพลิเคชันบน Google Play Store มาติดตั้งก่อน แอปพลิเคชันดังกล่าวจะเป็นแอปพลิเคชันที่ดูเหมือนไม่มีพิษมีภัย ไม่ได้ทำอันตรายแก่ตัวเครื่องโดยตรง แต่จะทำหน้าที่เป็น Dropper ซึ่งจะติดต่อกับ C&C Server เพื่อทำการดาวน์โหลดและติดตั้งแอปพลิเคชันอีกตัวหนึ่งซึ่งมีมัลแวร์ GhostTeam แฝงตัวอยู่ ผ่านทางการแจ้งเตือนผู้ใช้ว่ามีปัญหาเกี่ยวกับความมั่นคงปลอดภัย จำเป็นต้องดาวน์โหลดแอปมาติดตั้งเพิ่มเติมและต้องใช้สิทธิ์ Admin

หลังจากที่แอปพลิเคชัน GhostTeam ถูกติดตั้งลงบนเครื่องและได้สิทธิ์ Admin แล้ว มันจะเริ่มแสดงโฆษณาบนเครื่องของผู้ใช้ทันที รวมไปถึงใช้วิธีพิเศษในการแอบขโมยข้อมูล Credential จากหน้าล็อกอินจริงของ Facebook กล่าวคือ เมื่อผู้ใช้กำลังจะเปิดแอป Facebook มัลแวร์จะทำการเปิดหน้าล็อกอินของ Facebook ผ่านทาง Headless Browser ของ Android โดยใช้ WebView หรือ WebChromeClient แทน พร้อมกับแทรกโค้ด JavaScript สำหรับเก็บข้อมูลล็อกอิน Facebook ของผู้ใช้เข้าไปด้วย เมื่อผู้ใช้ลงทะเบียนเข้าใช้ Facebook ข้อมูลเหล่านั้นก็จะถูกส่งกลับไปยัง C&C Server ของแฮ็กเกอร์ในภายหลัง

จุดเด่นสำคัญของวิธีนี้คือ การดำเนินการทุกขั้นตอนถูกกระทำบนหน้าล็อกอินจริงของ Facebook และผ่านทางระบบที่ถูกต้องของ Android ทำให้ซอฟต์แวร์รักษาความมั่นคงปลอดภัยส่วนใหญ่บนเครื่องไม่สามารถตรวจจับและป้องกันได้

Avast! และ Trend Micro ระบุว่า มีแอปพลิเคชันบน Google Play Store ที่นำไปสู่มัลแวร์ GhostTeam มากถึง 53 แอปพลิเคชัน ซึ่งแอปพลิเคชันทั้งหมดใช้ภาษาเวียดนามเป็นภาษาพื้นฐาน และ C&C Server ก็เป็น IP จากประเทศเวียดนาม ทำให้คาดเดาได้ไม่ยากว่าแฮ็กเกอร์น่าจะเป็นชาวเวียดนาม อย่างไรก็ตาม ประเทศที่ได้รับผลกระทบจาก GhostTeam มากที่สุดกลับเป็นอินเดีย อินโดนีเซีย และบราซิล ตามลำดับ คิดเป็น 60% ของอุปกรณ์ทั้งหมดที่ติดมัลแวร์

ทั้งสองบริษัทได้แจ้งเรื่องมัลแวร์ GhostTeam ไปยัง Google ซึ่งก็ได้ลบแอปพลิเคชันทั้ง 53 รายการออกจาก Play Store เป็นที่เรียบร้อย ส่วนใหญ่เป็นแอปพลิเคชันประเภท Flashlight, QR Code Scanner, Compass, Device Optimization และ Device Cleaning สามารถดูรายชื่อแอปพลิเคชันทั้งหมดได้ที่นี่ [PDF] ถ้าพบว่าบนอุปกรณ์ของตนมีแอปพลิเคชันดังกล่าวติดตั้งอยู่ ให้รีบลบแอปพลิเคชันทิ้ง เปลี่ยนรหัสผ่าน Facebook และใช้การพิสูจน์แบบ 2-factor Authentication

ที่มา: https://www.bleepingcomputer.com/news/security/ghostteam-android-malware-can-steal-facebook-credentials/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Azure ประกาศฟีเจอร์ตรวจจับ Fileless Attack ด้วย Security Center เข้าสู่สถานะ GA แล้ว

Fileless Attack เป็นวิธีการโจมตีสมัยใหม่ที่ได้รับความนิยมเป็นอย่างมากเพราะช่วยให้สามารถหลีกเลี่ยงการตรวจจับของ Antivirus หรือกลไกการตรวจสอบแบบเดิมซึ่งตอนนี้ทาง Azure ได้พัฒนาความสามารถบน Security Center ให้ตรวจจับการโจมตีชนิดนี้ได้และได้ประกาศเป็นสถานะพร้อมใช้งานจริงแล้ว

รายงานพบ Data Center ส่วนใหญ่ไม่พร้อมรับมือกับสภาพอากาศเปลี่ยนแปลงรุนแรง

Uptime Institute ได้จัดทำรายงานเพื่อศึกษาถึงผลกระทบจากภัยธรรมชาติและการเปลี่ยนแปลงสภาวะทางสภาพอากาศต่อ Data Center โดยจุดประสงค์เพื่อให้ผู้ให้บริการตระหนักถึงความเสี่ยงของผลกระทบที่จะเกิดขึ้นซึ่งพบว่าผู้ประกอบการต่างๆ ไม่เคยวางแผนรองรับหรือไม่ได้ตระหนักถึงความเสี่ยงจะเกิดกับ Data Center ของตน