TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยบนมือถือจาก Zimperium ได้แจ้งเตือนพบมัลแวร์ที่แฝงตัวมากับแอป System Update ที่มาจากร้านค้าแอปนอก App Store
ที่มาของมัลแวร์ตัวนี้ค่อนข้างจำกัดเพราะติดเข้ามากับร้านค้าแอปของ 3rd-party ที่ไม่ใช่ Play Store ด้วยเหตุนี้หากผู้ใช้ไม่ไปดาวน์โหลดแอปจากข้างนอกเข้ามาก็ไม่น่าจะเสี่ยงติดมัลแวร์ตัวนี้ อย่างไรก็ดีหากพูดถึงพฤติกรรมของมัลแวร์ตัวนี้มีความสามารถขโมยข้อมูลมากมายเพื่อส่งออกไปยัง Firebase Server ดังนี้
- ขโมยข้อความใน Instant Messenger
- ขโมยข้อมูลใน Instant Messenger ในไฟล์ฐานข้อมูล (หากได้สิทธิ์ Root)
- เข้าถึง bookmark ใน Default Browser และการค้นหาต่างๆ
- ดูประวัติการค้นหาใน Chrome, Mozilla และ Samsung Browser
- ค้นหาไฟล์แบบเจาะจงนามสกุลเช่น .pdf, .doc, .docx, .xls และ .xlsx
- ลอบดูข้อมูลใน Clipboard
- บันทึกเสียงและการโทร
- ดูการแจ้งเตือนต่างๆ
- ดูรายการติดตั้งแอปในเครื่อง
- ขโมย SMS, รายชื่อผู้ติดต่อ ประวัติการติดต่อ รวมถึงข้อมูลตัวเครื่อง
- ติดตามพิกัด GPS
- ขโมยรูปภาพและวีดีโอ
ความน่าสนใจคือมัลแวร์ได้ประพฤติตัวอย่างแนบเนียนให้ใช้แบนวิธด์ต่ำ ในการขโมยข้อมูลด้วยการเก็บแค่ Thumbnail ของไฟล์ภาพหรือวีดีโอเท่านั้น รวมถึงจะ Trigger การใช้งานฟังก์ชัน ConsentObserver และ Broadcast Receiver เมื่อตรงกับเงื่อนไขบางอย่างเท่านั้นเช่น มีรายชื่อผู้ติดต่อถูกเพิ่มเข้ามา หรือมีข้อความใหม่ๆ นอกจากนี้ยังซ่อนไอคอนที่ปรากฏในเมนูด้วย
ทั้งนี้แม้การแพร่กระจายจะเกิดขึ้นได้จำกัดแต่หากเข้ามาได้แล้ว มัลแวร์ตัวนี้ก็นับว่าเป็นมัลแวร์ที่มีฟังก์ชันการขโมยข้อมูลอย่างสมบูรณ์ตัวหนึ่ง ซึ่งผู้ใช้ก็หลีกเลี่ยงเบื้องต้นได้ด้วยการไม่ดาวน์โหลดแอปนอก Play Store ศึกษารายงานฉบับเต็มจาก Zimperium ได้ที่ https://blog.zimperium.com/new-advanced-android-malware-posing-as-system-update/
ที่มา : https://www.bleepingcomputer.com/news/security/new-android-malware-spies-on-you-while-posing-as-a-system-update/ และ https://techcrunch.com/2021/03/26/android-malware-system-update/
