นักวิจัยด้านความปลอดภัย Nipun Gupta และ Aazim Bill SE Yaswant พบ Trojan App ที่ชื่อว่า Schoolyard Bully Trojan บน Google Play Store โดยมียอดผู้ดาวน์โหลดแอปดังกล่าวไปแล้วกว่า 3 แสน รายใน 71 ประเทศ ซึ่งปัจจุบันได้ถูกถอดจาก Google Play Store ไปแล้ว แต่ก็ยังมีเผยแพร่อยู่บน 3rd party อื่น ๆ เช่น Telegram หรือ Whatsapp เป็นต้น
ลักษณะการทำงาน
Trojan ได้ถูกออกแบบมาเพื่อขโมย Facebook credentials เป็นหลัก โดยจะปลอมเป็นแอปพลิเคชั่นสำหรับการศึกษาที่ดูใช้งานได้ตามปกติ หรือแอปสำหรับอ่านนิยายออนไลน์เพื่อหลอกล่อให้เหยื่อดาวน์โหลดมาโดยไม่เกิดความสงสัย
ซึ่งหลังจากที่เหยื่อมีการโหลดมาแอปมาติดตั้งไว้บนเครื่องแล้วจะมีการหลอกล่อเหยื่อให้เปิดหน้าใช้งานเข้าสู่ระบบของ Facebook ใน WebView ซึ่งภายในหน้าเว็บนั้นจะมีการฝัง JavaScript ที่มีความสามารถในการขโมยข้อมูลจำพวก เบอร์โทรศัพท์ อีเมล และรหัสผ่านของผู้ใช้ ส่งไปยัง Command-and-control (C2) ที่ถูกกำหนดไว้ของผู้โจมตี
นอกจากนี้ Schoolyard Bully Trojan ยังมีความสามารถในการใช้ประโยชน์จาก native libraries เช่น libabc.so เพื่อหลบหลีกการตรวจจับจาก Antivirus
ผลกระทบ
หากถูกขโมย Credentials Facebook ไปได้อาจถูกนำไปใช้ในการปลอมแปลงเป็นบุคคลนั้น ๆ และหลอกลวงเพื่อนภายใน Facebook ให้ส่งเงิน หรือหลอกเอาข้อมูลที่มีความสำคัญไป รวมถึงการนำไปโจมตีในรูปแบบ Credential Stuffing หากมีการใช้บัญชีเดียวกันในหลาย ๆ แพลตฟอร์ม
แนวทางการป้องกัน
- เปิดใช้งาน Multi Factor Authentication
- ไม่ควรใช้บัญชีเดียวกัน หรือรหัสผ่านซ้ำ ๆ กันในหลาย ๆ แพลตฟอร์ม
ที่มา : thehackernews
You must be logged in to post a comment.