แอปพลิเคชัน Android SMS ที่มีอยู่บน Google Play Store ถูกพบว่ามีการใช้ประโยชน์จากการเข้าถึงข้อความ SMS เพื่อนำไปสร้างบัญชีบนแพลตฟอร์มต่างๆ เช่น Facebook, Google และ WhatsApp
แอปพลิเคชันนี้มีชื่อว่า Symoo (com.vanjan.sms) โดยมียอดดาวน์โหลดมากกว่า 100,000 ครั้ง ตัวแอปจะแอบส่งข้อความจากเครื่องเหยื่อไปยังเซิร์ฟเวอร์ซึ่งมีลักษณะการให้บริการสร้างบัญชีผู้ใช้งานบนระบบต่าง ๆ โดยแอปจะใช้ประโยชน์จากการใช้หมายเลขโทรศัพท์ของเหยื่อที่ติดตั้งแอปไว้ เพื่อรับ one-time password ที่จะถูกส่งไปเพื่อตรวจสอบเมื่อมีการสมัครบัญชีใหม่
ลักษณะการทำงาน
- มัลแวร์จะขอหมายเลขโทรศัพท์ของผู้ใช้ พร้อมกับขอสิทธิ์เข้าถึง SMS ในขณะติดตั้ง จากนั้นเมื่อมีการโหลดแอปพลิเคชันตัวแอปจะซ่อน interface ของ SMS ที่ได้รับ ทำให้ผู้ใช้งานจะไม่เห็น SMS ของการสมัครใช้บริการต่าง ๆ
- บริการหลัก ๆ ที่ถูกนำไปใช้ลงทะเบียนโดยใช้หมายเลขโทรศัพท์ของเหยื่อ ได้แก่ Amazon, Discord, Facebook, Google, Instagram, KakaoTalk, Microsoft, Nike, Telegram, TikTok, Tinder, Viber และ WhatsApp เป็นต้น
- นอกจากนี้ข้อมูลที่ถูกเก็บรวบรวมโดยมัลแวร์จะถูกส่งออกไปยังโดเมนชื่อ "goomy[.]fun" ซึ่งก่อนหน้านี้เคยถูกใช้ในแอปพลิเคชันที่เป็นอันตรายที่ชื่อว่า Virtual Number (com.programmatics.virtualnumber) โดยหลังจากนั้นแอปดังกล่าวก็ถูกลบออกจาก Play Store
Walven ผู้พัฒนาแอปพลิเคชันนี้ยังมีความเกี่ยวข้องกับแอปพลิเคชัน Android อื่น ๆ ที่ชื่อว่า ActivationPW - Virtual Number (com.programmatics.activation) ซึ่งอ้างว่ามี virtual numbers เพื่อใช้สำหรับการทำ SMS verification จากกว่า 200 ประเทศในราคาต่ำกว่า 50 cent
โดยปัจจุบันแอปพลิเคชันทั้งสองรายการถูกลบออกจาก Play Store และผู้พัฒนาถูกแบนเรียบร้อยแล้ว
ที่มา : thehackernews
You must be logged in to post a comment.