นักวิจัยพบ Trojan แอนดรอยด์พันธุ์ใหม่มุ่งขโมยข้อมูล Instant Messenger Client

นักวิจัยด้านความมั่นคงปลอดภัยจาก Trustlook ผู้ให้บริการโซลูชันด้านความมั่นคงปลอดภัยได้ค้นพบมัลแวร์พันธุ์ใหม่ซึ่งมุ่งเน้นเข้ามาขโมยข้อมูลของโปรแกรม Instant Messaging บนมือถือ    

นักวิจัยได้ออกรายงานถึงขั้นตอนการปฏิบัติงานของ Trojan ดังนี้
  • หลังจากที่แอปพลิเคชันที่ติดมัลแวร์ถูก Unpack แล้ว Trojan ตัวนี้จะพยายามเข้าไปแก้ไฟล์ /system/etc/install-recovery.sh เพื่อให้เกิดการ Execute มัลแวร์ได้ถูกครั้งที่ระบบบูตขึ้นมา
  • มัลแวร์จะทำการขโมยข้อมูลออกจากโปรแกรม Instant Messaging ที่มีรายชื่อตามด้านล่าง อัปโหลดไปให้เซิร์ฟเวอร์ภายนอก โดยจะได้รับ IP ของเซิร์ฟเวอร์จากไฟล์ Local Configuration

มัลแวร์สนใจโปรแกรมหลายตัวดังนี้ Facebook Messenger, Skype, Telegram, Twitter, WeChat, Weibo, Viber, Line, Coco, BeeTalk, Momo, Voxer Walkie Talkie Messenger, Gruveo Magic Call, TalkBox Voice Messenger โดยนักวิจัยได้เริ่มสังเกตเห็นความผิดปกติในโปรแกรมชื่อจีน (แปลเป็นภาษาอังกฤษคือ Cloud Module) ที่มีแพ็กเกจชื่อ com.android.boxa

แม้ว่าทางนักวิจัยยังไม่ได้แชร์รายละเอียดเรื่องของการแพร่มัลแวร์ว่าเป็นอย่างไร แต่คาดว่าน่าจะผ่านมาทางร้านค้า Third-party เช่น Android App forum เพราะไม่ปรากฏชื่อแอปนั้นใน Play Store ของจีน นอกจากนี้ Trustlook ยังได้พบเทคนิคในการหลบหลีกการตรวจจับ เช่น เทคนิค Anti-emulator (เช็คว่าเป็นสภาพแวดล้อมจริงหรือจำลอง) และตรวจสอบหา Debugger(เพื่อเลี่ยงการทำ Dynamic Analysis) รวมถึงมีการซ่อนตัวอักษรภายใน Source code เพื่อขัดขวางไม่ให้ย้อนกลับโค้ดได้ง่ายๆ

ที่มา : https://www.bleepingcomputer.com/news/security/android-trojan-steals-data-from-facebook-messenger-skype-other-im-clients/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco ประกาศเข้าซื้อกิจการ Armorblox ผู้พัฒนา Generative AI สำหรับ CyberSecurity

Cisco ประกาศเข้าซื้อกิจการ Armorblox บริษัทสตาร์ทอัพผู้พัฒนา Generative AI สำหรับ CyberSecurity

CrowdStrike ประกาศความร่วมมือ AWS พัฒนา Generative AI สำหรับ CyberSecurity

CrowdStrike ประกาศความร่วมมือ AWS พัฒนา Generative AI สำหรับ CyberSecurity พร้อมเปิดตัว Chatbot ใหม่