Black Hat Asia 2023

นักวิจัยเตือนมัลแวร์บนแอนดรอยด์ใหม่แฝงตัวเป็น ‘System Update’

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยบนมือถือจาก Zimperium ได้แจ้งเตือนพบมัลแวร์ที่แฝงตัวมากับแอป System Update ที่มาจากร้านค้าแอปนอก App Store

ที่มาของมัลแวร์ตัวนี้ค่อนข้างจำกัดเพราะติดเข้ามากับร้านค้าแอปของ 3rd-party ที่ไม่ใช่ Play Store ด้วยเหตุนี้หากผู้ใช้ไม่ไปดาวน์โหลดแอปจากข้างนอกเข้ามาก็ไม่น่าจะเสี่ยงติดมัลแวร์ตัวนี้ อย่างไรก็ดีหากพูดถึงพฤติกรรมของมัลแวร์ตัวนี้มีความสามารถขโมยข้อมูลมากมายเพื่อส่งออกไปยัง Firebase Server ดังนี้

  • ขโมยข้อความใน Instant Messenger
  • ขโมยข้อมูลใน Instant Messenger ในไฟล์ฐานข้อมูล (หากได้สิทธิ์ Root)
  • เข้าถึง bookmark ใน Default Browser และการค้นหาต่างๆ
  • ดูประวัติการค้นหาใน Chrome, Mozilla และ Samsung Browser
  • ค้นหาไฟล์แบบเจาะจงนามสกุลเช่น .pdf, .doc, .docx, .xls และ .xlsx
  • ลอบดูข้อมูลใน Clipboard
  • บันทึกเสียงและการโทร
  • ดูการแจ้งเตือนต่างๆ
  • ดูรายการติดตั้งแอปในเครื่อง
  • ขโมย SMS, รายชื่อผู้ติดต่อ ประวัติการติดต่อ รวมถึงข้อมูลตัวเครื่อง
  • ติดตามพิกัด GPS
  • ขโมยรูปภาพและวีดีโอ

ความน่าสนใจคือมัลแวร์ได้ประพฤติตัวอย่างแนบเนียนให้ใช้แบนวิธด์ต่ำ ในการขโมยข้อมูลด้วยการเก็บแค่ Thumbnail ของไฟล์ภาพหรือวีดีโอเท่านั้น รวมถึงจะ Trigger การใช้งานฟังก์ชัน ConsentObserver และ Broadcast Receiver เมื่อตรงกับเงื่อนไขบางอย่างเท่านั้นเช่น มีรายชื่อผู้ติดต่อถูกเพิ่มเข้ามา หรือมีข้อความใหม่ๆ นอกจากนี้ยังซ่อนไอคอนที่ปรากฏในเมนูด้วย 

ทั้งนี้แม้การแพร่กระจายจะเกิดขึ้นได้จำกัดแต่หากเข้ามาได้แล้ว มัลแวร์ตัวนี้ก็นับว่าเป็นมัลแวร์ที่มีฟังก์ชันการขโมยข้อมูลอย่างสมบูรณ์ตัวหนึ่ง ซึ่งผู้ใช้ก็หลีกเลี่ยงเบื้องต้นได้ด้วยการไม่ดาวน์โหลดแอปนอก Play Store ศึกษารายงานฉบับเต็มจาก Zimperium ได้ที่ https://blog.zimperium.com/new-advanced-android-malware-posing-as-system-update/

ที่มา : https://www.bleepingcomputer.com/news/security/new-android-malware-spies-on-you-while-posing-as-a-system-update/ และ https://techcrunch.com/2021/03/26/android-malware-system-update/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Video Webinar] Securing Container and Cloud Workload in 2023

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย F5 Webinar เรื่อง “Securing Container and Cloud Workload in 2023” เพื่อเรียนรู้การปกป้อง Container และ Cloud …

MFEC เตรียมเดินหน้าสร้างศูนย์ CSOC ให้ลูกค้า ด้วยเครื่องมือที่พร้อมและครบครันจาก IBM

การป้องกันภัยคุกคามไม่ได้ถูกจำกัดเพียงแค่ตัวโซลูชันเพียงอย่างเดียว แต่การป้องกันที่ดียังต้องอาศัยผู้เชี่ยวชาญเข้ามาถ่ายทอดองค์ความรู้ให้กลายเป็น Rule หรือมาตรการบางอย่างเพื่อใช้ป้องกันเหตุการณ์ที่เกิดขึ้น ซึ่งในองค์กรขนาดใหญ่มักจะมีห้องรวมตัวสำหรับเหล่าผู้เชี่ยวชาญที่คอยติดตามภาวะภัยคุกคามที่รู้จักกันในชื่อ Cybersecurity Operation Center (CSOC) โดยมีหน้าที่หลายด้านที่ช่วยบริหารจัดการด้านความมั่นคงปลอดภัยเช่น มอนิเตอร์และตรวจสอบเหตุการณ์ด้านความมั่นคงปลอดภัย ตอบสนองเหตุภัยคุกคาม บริหารจัดการช่องโหว่และภัยคุกคาม แต่ทั้งหมดต้องอาศัยความเชี่ยวชาญและประสบการณ์จากบุคลากร นอกจากประเด็นเรื่องของบุคลากรด้านความมั่นคงปลอดภัยแล้ว …