Breaking News

นักวิจัยพบ Trojan แอนดรอยด์พันธุ์ใหม่มุ่งขโมยข้อมูล Instant Messenger Client

นักวิจัยด้านความมั่นคงปลอดภัยจาก Trustlook ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยได้ค้นพบมัลแวร์พันธุ์ใหม่ซึ่งมุ่งเน้นเข้ามาขโมยข้อมูลของโปรแกรม Instant Messaging บนมือถือ    

นักวิจัยได้ออกรายงานถึงขั้นตอนการปฏิบัติงานของ Trojan ดังนี้
  • หลังจากที่แอปพลิเคชันที่ติดมัลแวร์ถูก Unpack แล้ว Trojan ตัวนี้จะพยายามเข้าไปแก้ไฟล์ /system/etc/install-recovery.sh เพื่อให้เกิดการ Execute มัลแวร์ได้ถูกครั้งที่ระบบบูตขึ้นมา
  • มัลแวร์จะทำการขโมยข้อมูลออกจากโปรแกรม Instant Messaging ที่มีรายชื่อตามด้านล่าง อัปโหลดไปให้เซิร์ฟเวอร์ภายนอก โดยจะได้รับ IP ของเซิร์ฟเวอร์จากไฟล์ Local Configuration

มัลแวร์สนใจโปรแกรมหลายตัวดังนี้ Facebook Messenger, Skype, Telegram, Twitter, WeChat, Weibo, Viber, Line, Coco, BeeTalk, Momo, Voxer Walkie Talkie Messenger, Gruveo Magic Call, TalkBox Voice Messenger โดยนักวิจัยได้เริ่มสังเกตเห็นความผิดปกติในโปรแกรมชื่อจีน (แปลเป็นภาษาอังกฤษคือ Cloud Module) ที่มีแพ็กเกจชื่อ com.android.boxa

แม้ว่าทางนักวิจัยยังไม่ได้แชร์รายละเอียดเรื่องของการแพร่มัลแวร์ว่าเป็นอย่างไร แต่คาดว่าน่าจะผ่านมาทางร้านค้า Third-party เช่น Android App forum เพราะไม่ปรากฏชื่อแอปนั้นใน Play Store ของจีน นอกจากนี้ Trustlook ยังได้พบเทคนิคในการหลบหลีกการตรวจจับ เช่น เทคนิค Anti-emulator (เช็คว่าเป็นสภาพแวดล้อมจริงหรือจำลอง) และตรวจสอบหา Debugger(เพื่อเลี่ยงการทำ Dynamic Analysis) รวมถึงมีการซ่อนตัวอักษรภายใน Source code เพื่อขัดขวางไม่ให้ย้อนกลับโค้ดได้ง่ายๆ

ที่มา : https://www.bleepingcomputer.com/news/security/android-trojan-steals-data-from-facebook-messenger-skype-other-im-clients/




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เชิญร่วมงานสัมมนา CDIC 2018 ลงทะเบียนวันนี้รับส่วนลดทันที 10%

Software Park Thailand และ ACIS Professional Center ร่วมกับเหล่าพันธมิตร ขอเชิญผู้ที่สนใจเข้าร่วมงานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ที่ยิ่งใหญ่ที่สุดในประเทศไทยและภูมิภาคอาเซียน “Cyber Defense Initiative Conference (CDIC) 2018” …

สนามบิน Bristol ถูก Ransomware โจมตี ทำจอแสดงข้อมูลการบินดับ

สนามบิน Bristol สหราชอาณาจักร ออกมาเปิดเผยถึงเหตุการณ์หน้าจอแสดงข้อมูลเที่ยวบินดับเมื่อช่วงสุดสัปดาห์ที่ผ่านมา ระบุว่ามีสาเหตุมาจากการถูก Ransomware โจมตี