นักวิจัยพบ Trojan แอนดรอยด์พันธุ์ใหม่มุ่งขโมยข้อมูล Instant Messenger Client

นักวิจัยได้ออกรายงานถึงขั้นตอนการปฏิบัติงานของ Trojan ดังนี้

• หลังจากที่แอปพลิเคชันที่ติดมัลแวร์ถูก Unpack แล้ว Trojan ตัวนี้จะพยายามเข้าไปแก้ไฟล์ /system/etc/install-recovery.sh เพื่อให้เกิดการ Execute มัลแวร์ได้ถูกครั้งที่ระบบบูตขึ้นมา
• มัลแวร์จะทำการขโมยข้อมูลออกจากโปรแกรม Instant Messaging ที่มีรายชื่อตามด้านล่าง อัปโหลดไปให้เซิร์ฟเวอร์ภายนอก โดยจะได้รับ IP ของเซิร์ฟเวอร์จากไฟล์ Local Configuration

มัลแวร์สนใจโปรแกรมหลายตัวดังนี้ Facebook Messenger, Skype, Telegram, Twitter, WeChat, Weibo, Viber, Line, Coco, BeeTalk, Momo, Voxer Walkie Talkie Messenger, Gruveo Magic Call, TalkBox Voice Messenger โดยนักวิจัยได้เริ่มสังเกตเห็นความผิดปกติในโปรแกรมชื่อจีน (แปลเป็นภาษาอังกฤษคือ Cloud Module) ที่มีแพ็กเกจชื่อ com.android.boxa

แม้ว่าทางนักวิจัยยังไม่ได้แชร์รายละเอียดเรื่องของการแพร่มัลแวร์ว่าเป็นอย่างไร แต่คาดว่าน่าจะผ่านมาทางร้านค้า Third-party เช่น Android App forum เพราะไม่ปรากฏชื่อแอปนั้นใน Play Store ของจีน นอกจากนี้ Trustlook ยังได้พบเทคนิคในการหลบหลีกการตรวจจับ เช่น เทคนิค Anti-emulator (เช็คว่าเป็นสภาพแวดล้อมจริงหรือจำลอง) และตรวจสอบหา Debugger(เพื่อเลี่ยงการทำ Dynamic Analysis) รวมถึงมีการซ่อนตัวอักษรภายใน Source code เพื่อขัดขวางไม่ให้ย้อนกลับโค้ดได้ง่ายๆ

ที่มา : https://www.bleepingcomputer.com/news/security/android-trojan-steals-data-from-facebook-messenger-skype-other-im-clients/