นักวิจัยพบ Trojan แอนดรอยด์พันธุ์ใหม่มุ่งขโมยข้อมูล Instant Messenger Client

นักวิจัยด้านความมั่นคงปลอดภัยจาก Trustlook ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยได้ค้นพบมัลแวร์พันธุ์ใหม่ซึ่งมุ่งเน้นเข้ามาขโมยข้อมูลของโปรแกรม Instant Messaging บนมือถือ    

นักวิจัยได้ออกรายงานถึงขั้นตอนการปฏิบัติงานของ Trojan ดังนี้
  • หลังจากที่แอปพลิเคชันที่ติดมัลแวร์ถูก Unpack แล้ว Trojan ตัวนี้จะพยายามเข้าไปแก้ไฟล์ /system/etc/install-recovery.sh เพื่อให้เกิดการ Execute มัลแวร์ได้ถูกครั้งที่ระบบบูตขึ้นมา
  • มัลแวร์จะทำการขโมยข้อมูลออกจากโปรแกรม Instant Messaging ที่มีรายชื่อตามด้านล่าง อัปโหลดไปให้เซิร์ฟเวอร์ภายนอก โดยจะได้รับ IP ของเซิร์ฟเวอร์จากไฟล์ Local Configuration

มัลแวร์สนใจโปรแกรมหลายตัวดังนี้ Facebook Messenger, Skype, Telegram, Twitter, WeChat, Weibo, Viber, Line, Coco, BeeTalk, Momo, Voxer Walkie Talkie Messenger, Gruveo Magic Call, TalkBox Voice Messenger โดยนักวิจัยได้เริ่มสังเกตเห็นความผิดปกติในโปรแกรมชื่อจีน (แปลเป็นภาษาอังกฤษคือ Cloud Module) ที่มีแพ็กเกจชื่อ com.android.boxa

แม้ว่าทางนักวิจัยยังไม่ได้แชร์รายละเอียดเรื่องของการแพร่มัลแวร์ว่าเป็นอย่างไร แต่คาดว่าน่าจะผ่านมาทางร้านค้า Third-party เช่น Android App forum เพราะไม่ปรากฏชื่อแอปนั้นใน Play Store ของจีน นอกจากนี้ Trustlook ยังได้พบเทคนิคในการหลบหลีกการตรวจจับ เช่น เทคนิค Anti-emulator (เช็คว่าเป็นสภาพแวดล้อมจริงหรือจำลอง) และตรวจสอบหา Debugger(เพื่อเลี่ยงการทำ Dynamic Analysis) รวมถึงมีการซ่อนตัวอักษรภายใน Source code เพื่อขัดขวางไม่ให้ย้อนกลับโค้ดได้ง่ายๆ

ที่มา : https://www.bleepingcomputer.com/news/security/android-trojan-steals-data-from-facebook-messenger-skype-other-im-clients/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …