TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Google ได้ทำการลบแอปพลิเคชันแอนดรอยด์ไปกว่า 210 รายการที่ทำให้คนร้ายสามารถแสดงโฆษณา ติดตั้งแอปพลิเคชัน และเปิดเว็บไซต์ได้เมื่อเครื่องเริ่มทำงาน โดยทั้งหมดมียอดดาวน์โหลดรวมกันแล้วกว่า 150 ล้านครั้งเลยทีเดียว
แอปพลิเคชันทั้งหมดใช้ SDK ที่ชื่อว่า ‘RXDrioder’ ที่เปิดโอกาสให้ผู้โจมตีสามารถทำการแสดงโฆษณา เปิด URL บนอุปกรณ์แอนดรอยด์เมื่อบูตอุปกรณ์หรือปลดล็อกเครื่อง อย่างไรก็ตามยังไม่ทราบแน่ชัดว่านักพัฒนาแอปพลิเคชันเหล่านั้นจงใจใช้ SDK ดังกล่าวหรือถูกลวงให้นำไลบรารี่อันตรายนี้เข้ามา
Check Point ได้แชร์รายงานของตนซึ่งเรียกแอปพลิเคชันเหล่านั้นว่า ‘SimBad’ ที่ส่วนใหญ่จะเป็นเกมจำลองการแข่งขันขับรถ เช่น Snow Heavy Excavator Simulator, Ambulance Rescue Driving และ Water Surfing Car Stunt เป็นต้น ซึ่งมียอดดาวน์โหลดรวมกันกว่า 150 ล้านครั้ง
สำหรับหลักการทำงานของแอปพลิเคชันมุ่งโฆษณาเหล่านี้จะเชื่อมต่อกับเซิร์ฟเวอร์ควบคุม (C&C) ที่ชื่อ ‘ www.addrioder.com ‘ (สามารถดูภาพการทำงานได้ตามรูปด้านบน) รวมถึงในคำสั่งควบคุมนั้นผู้โจมตีจะสามารถปฏิบัติการได้หลายอย่าง เช่น ลบไอคอนแอปพลิเคชันออกเพื่อให้ทำการลบแอปยากขึ้น แสดงการแจ้งเตือน รันแอปไว้เบื้องหลัง เปิด URL และเปิดหน้า Google Play Store เพื่อโปรโมตแอปอื่นๆ เป็นต้น นอกจากนี้ทาง Check Point เตือนว่าคนร้ายมีความพยายามทำการ Spear Phishing ผ่านความสามารถที่ใช้เปิดหน้าเว็บเพจได้ด้วย
อย่างไรก็ตามปัจจุบัน Google ได้ทำการลบแอปพลิเคชันเหล่านี้กว่า 210 รายการทิ้งไปหมดแล้วจากการแจ้งของ Check Point แต่ก็เป็นตัวอย่างที่ดีสำหรับผู้ใช้งานว่าก่อนติดตั้งแอปใดให้อ่านคอมเม้นต์ประกอบด้วยซึ่งกรณีของแอปเหล่านี้มีผู้ใช้ได้แสดงความคิดเห็นถึงความน่ารำคาญของโฆษณามาก่อนแล้ว
