พบมัลแวร์ Android พร้อมดาวน์โหลดตัวเอง พุ่งเป้าสหรัฐฯ สหราชอาณาจักร และฝรั่งเศส

นักวิจัยด้านความมั่นคงปลอดภัยจาก Zscaler ออกมาเปิดเผยถึงแคมเปญ Malvertising ที่กำลังแพร่ระบาดอยู่ในเว็บบอร์ดยอดนิยมอย่าง GodLike Productions ซึ่งติดอันดับเว็บไซต์ยอดนิยมของ Alexa เมื่อผู้ใช้เข้าถึงเว็บดังกล่าว มัลแวร์จะถูกดาวน์โหลดเข้าอุปกรณ์ Android ของผู้ใช้ทันที

นักวิจัยระบุว่า Malvertising นี้มาในรูปของโฆษณาที่ปรากฎอยู่บนเว็บบอร์ด เมื่อผู้ใช้ใช้อุปกรณ์ Android ในการเข้าถึงเว็บดังกล่าว ไฟล์แอพพลิเคชัน APK ที่เป็นมัลแวร์จะถูกดาวน์โหลดไปที่อุปกรณ์ของผู้ใช้โดยอัตโนมัติทันที ซึ่งโดยปกติแล้ว แค่ดาวน์โหลดไฟล์ APK มาจะยังคงไม่มีปัญหาแต่อย่างใด เนื่องจากผู้ใช้ต้องเปิดไฟล์แล้วสั่งติดตั้งก่อน อย่างไรก็ตาม ยังคงมีผู้ใช้หลายคนที่เผลอกดติดตั้งโดยรู้เท่าไม่ถึงการณ์ นึกว่าเป็นแอพพลิเคชันใหม่ให้ทดลองใช้

แอพพลิเคชันมัลแวร์นี้มีชื่อว่า Ks Clean (kskas.apk) ซึ่งปลอมตัวเป็นแอพพลิเคชันสำหรับคลีนอุปกรณ์ หลังจากที่แอพพลิเคชันถูกติดตั้งแล้ว หน้าต่าง Pop-up ที่หน้าตาเหมือนการอัปเดตแพทช์ด้านความมั่นคงปลอดภัยจะเด้งขึ้นมาให้ผู้ใช้กดตกลง เนื่องจากมีเพียงแค่ปุ่ม “Ok” เพียงปุ่มเดียว ไม่มีปุ่ม “Cancel” หรือ “Close” ทำให้ผู้ใช้ต้องจำยอมกด “Ok” เพื่อปิดหน้าต่างลงอย่างหลีกเลี่ยงไม่ได้ ซึ่งการกดตกลงนี้จะเป็นการดาวน์โหลดและติดตั้งแอพพลิเคชันมัลแวร์อีกตัวหนึ่ง ชื่อว่า “Update” ซึ่งจะถามหาสิทธิ์ Admin ระหว่างการติดตั้ง ถ้าผู้ใช้กดตกลง แอพพลิเคชันนี้จะคอยแสดงโฆษณาบนหน้าจออุปกรณ์ทันที

ที่เป็นปัญหาคือ ต่อให้ผู้ใช้ตามรอยแอพพลิเคชัน Update กลับไป ก็ไม่สามารถยกเลิกการติดตั้งได้ เนื่องจากผู้ใช้จำเป็นต้องถอนสิทธิ์ Admin ของแอพพลิเคชันออกก่อน อย่างไรก็ตาม แฮ็คเกอร์กลับใช้ทริคในการป้องกันการกระทำดังกล่าว โดยการหยุดการทำงานของอุปกรณ์เป็นเวลาหลายวินาทีทุกครั้งที่ผู้ใช้พยายามถอนสิทธิ์ Admin

Zscaler ได้ทำการติดตั้งผู้ใช้ที่ดาวน์โหลดแอพพลิเคชัน Malvertising นี้กลับไป พบว่าในช่วง 2 สัปดาห์ที่ผ่านมา มีผู้ดาวน์โหลดไปกว่า 300 ครั้ง ส่วนใหญ่เป็นผู้ใช้จากสหรัฐฯ สหราชอาณาจักร และฝรั่งเศส ที่แย่กว่านั้นคือ เหมือนผู้ดูแลระบบจะทราบถึงแคมเปญ Malvertising นี้ แต่กลับเพิกเฉย รวมไปถึงลบกระทู้ที่มีคนมาร้องเรียนเกี่ยวกับการบังคับให้ติดตั้งแอพพลิเคชันอีกด้วย

Zscaler แนะนำวิธีป้องกันแคมเปญ Malvertising รูปแบบนี้ว่า ให้ยกเลิก Auto-download บนเบราเซอร์ของอุปกรณ์ และไม่เลือก “Unknown Sources” ในการตั้งค่า Android Security ซึ่งจะช่วยป้องกันไม่ให้ผู้ใช้เผลอโหลดแอพพลิเคชันจากแหล่งที่ไม่น่าเชื่อถือ แต่ยังคงสามารถดาวน์โหลดได้จาก Google Play ตามปกติ

ที่มา: https://www.bleepingcomputer.com/news/security/self-downloading-android-malware-target-users-in-the-us-uk-and-france/