นักวิจัยจาก Kaspersky Lab ออกมาเปิดเผยถึงแอพพลิเคชันอันตรายบน Google Play Store ที่ปลอมตัวเป็นแอพพลิเคชันเกี่ยวกับโปเกมอน ชื่อว่า “Guide for Pokémon Go” แต่แฝง Rooting Malware ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าถึงระบบปฏิบัติการหลักบน Android ด้วยสิทธิ์ Root ได้
จากข้อมูลของ Google Play พบว่ามีการดาวน์โหลดแอพพลิเคชันดังกล่าวไปแล้วกว่า 500,000 ครั้ง และจากการตรวจสอบของ Kaspersky Lab พบว่ามีอุปกรณ์มากกว่า 6,000 เครื่องที่ติดมัลแวร์ ซึ่งส่วนใหญ่เป็นผู้ใช้จากประเทศรัสเซีย อินเดีย และอินโดนีเซีย อย่างไรก็ตาม แอพพลิเคชันดังกล่าวเป็นภาษาอังกฤษ จึงเป็นไปได้ที่จะแพร่กระจายไปยังทุกภูมิภาคทั่วโลก
Guide for Pokémon Go เป็นแอพพลิเคชันที่ปลอมตัวเป็นคู่มือการเล่นเกม Pokémon Go และใช้กรรมวิธีที่หลากหลายในการหลบหลีกกลไกการตรวจจับมัลแวร์ของ Google Play ตัวแอพพลิเคชันแฝงมาด้วยมัลแวร์ที่จะไม่เริ่มการทำงานทันทีที่ติดตั้ง แต่จะรอจนกว่าจะมีแอพพลิเคชันอื่นถูกติดตั้งหรือถอนการติดตั้ง เพื่อให้มั่นใจได้ว่าตัวเองกำลังทำงานอยู่บนอุปกรณ์ที่ใช้งานจริง ไม่ใช่บนสภาวะจำลองที่ใช้ตรวจจับมัลแวร์ เช่น Sandbox
หลังจากที่แอพพลิเคชันทราบแล้วว่าตัวเองกำลังรันอยู่บนอุปกรณ์จริง มันจะทำการรออีก 2 ชั่วโมงก่อนที่จะจะเริ่มรันมัลแวร์ ซึ่งจะทำการเชื่อมต่อกับ C&C Server และส่งข้อมูลเกี่ยวกับอุปกรณ์ไปให้ จากนั้น C&C Server จะสั่งให้มัลแวร์ทำการดาวน์โหลด Exploit สำหรับเจาะช่องโหว่ Local Privilege Escalation ที่ค้นพบบน Android ตั้งแต่ปี 2012 ถึง 2015 เพื่อให้ได้สิทธิ์เป็น Root ของเครื่อง ส่งผลให้แฮ็คเกอร์สามารถเข้าควบคุมอุปกรณ์ได้ทันที
Kaspersky Lab ได้แจ้งเรื่องนี้ไปยัง Google ซึ่งก็ได้ถอนแอพพลิเคชัน Guide for Pokémon Go ออกเป็นที่เรียบร้อย นอกจากนี้ Google ยังระบุว่าช่องโหว่ Privilege Escalation ทั้งหมดที่ค้นพบได้ทำการแพทช์เพื่ออุดช่องโหว่เป็นแล้ว แต่เนื่องจากมีเจ้าของผลิตภัณฑ์หลายเจ้าที่ใช้ระบบปฏิบัติการ Android จึงเป็นไปได้ที่อุปกรณ์อื่นๆ ที่ไม่ใช่ของ Google จะยังคงมีช่องโหว่อยู่
รายละเอียดเพิ่มเติม: https://securelist.com/blog/mobile/76081/rooting-pokemons-in-google-play-store/