แอปพลิเคชันอันตรายบน Android กว่า 300 แอป ซึ่งถูกดาวน์โหลดไปแล้วกว่า 60 ล้านครั้งจาก Google Play โดยแอปเหล่านี้ทำหน้าที่เป็น Adware หรือพยายามขโมยข้อมูล credentials และข้อมูลบัตรเครดิตของผู้ใช้
ปฏิบัติการนี้ถูกพบครั้งแรกโดย IAS Threat Lab ซึ่งจัดประเภทพฤติกรรมที่เป็นอันตรายนี้ภายใต้ชื่อ "Vapor" และระบุว่ามีการดำเนินการมาตั้งแต่ต้นปี 2024
IAS ระบุว่า Vapor มี 180 แอปที่เป็นส่วนหนึ่งของแคมเปญนี้ ซึ่งมีการสร้าง requests โฆษณาปลอมมากถึง 200 ล้านครั้งต่อวัน เพื่อใช้ในการหลอกลวงในวงกว้าง
รายงานที่เพิ่งเผยแพร่โดย Bitdefender ระบุว่า จำนวนแอปอันตรายเพิ่มขึ้นเป็น 331 แอป โดยพบการติดมัลแวร์จำนวนมากใน บราซิล, สหรัฐอเมริกา, เม็กซิโก, ตุรกี และเกาหลีใต้
Bitdefender เตือนว่า "แอปเหล่านี้แสดงโฆษณาที่ไม่เกี่ยวข้องกับบริบท และยังพยายามหลอกล่อเหยื่อให้เปิดเผยข้อมูล credentials และข้อมูลบัตรเครดิตผ่านการโจมตีแบบฟิชชิง"
แม้ว่าแอปทั้งหมดนี้จะถูกลบออกจาก Google Play แล้ว แต่ก็ยังมีความเสี่ยงสูงที่ Vapor จะกลับมาอีกครั้งผ่านแอปใหม่ เนื่องจากกลุ่มผู้โจมตีแสดงให้เห็นแล้วว่าสามารถหลบเลี่ยงกระบวนการตรวจสอบของ Google ได้
แอปพลิเคชั่น Vapor บน Google Play
แอปที่ถูกใช้ในแคมเปญ Vapor เป็นแอปประเภท utilities ที่ให้ฟังก์ชันเฉพาะทาง เช่น การติดตามสุขภาพ และการออกกำลังกาย, เครื่องมือจดบันทึก และไดอารี่, เครื่องมือเพิ่มประสิทธิภาพแบตเตอรี่ และเครื่องสแกน QR code
แอปเหล่านี้ผ่านการตรวจสอบความปลอดภัยของ Google เพราะในช่วงที่ส่งขึ้นไปยัง Google Play แอปยังคงมีฟังก์ชันที่ถูกต้องตามที่โฆษณาไว้ และไม่ได้มีโค้ดอันตรายแฝงอยู่ในตอนแรก แต่ฟังก์ชันที่เป็นอันตรายจะถูกดาวน์โหลดเพิ่มเติมหลังจากที่ผู้ใช้ติดตั้งแอปแล้ว ผ่านการอัปเดตจาก C2 Server เพื่อหลีกเลี่ยงการตรวจจับ
แอปที่น่าสนใจที่ Bitdefender และ IAS เน้นย้ำ ได้แก่
- AquaTracker – ดาวน์โหลด 1 ล้านครั้ง
- ClickSave Downloader – ดาวน์โหลด 1 ล้านครั้ง
- Scan Hawk – ดาวน์โหลด 1 ล้านครั้ง
- Water Time Tracker – ดาวน์โหลด 1 ล้านครั้ง
- Be More – ดาวน์โหลด 1 ล้านครั้ง
- BeatWatch – ดาวน์โหลด 500,000 ครั้ง
- TranslateScan – ดาวน์โหลด 100,000 ครั้ง
- Handset Locator – ดาวน์โหลด 50,000 ครั้ง
แอปเหล่านี้ถูกอัปโหลดไปยัง Google Play จากบัญชีนักพัฒนาหลายบัญชี โดยแต่ละบัญชีจะอัปโหลดเพียงไม่กี่แอปเพื่อลดความเสี่ยงหากแอปถูกลบออกจากสโตร์ และนักพัฒนาแต่ละรายยังใช้ ads SDK ต่างกัน เพื่อหลีกเลี่ยงการตรวจจับ
แอป Vapor ส่วนใหญ่ถูกเผยแพร่บน Google Play ระหว่าง ตุลาคม 2024 ถึง มกราคม 2025 และยังคงมีการอัปโหลดเพิ่มจนถึง มีนาคม 2025
ฟังก์ชันที่เป็นอันตราย
แอป Vapor ที่เป็นอันตรายจะปิดการทำงานของ Launcher ในไฟล์ AndroidManifest.xml หลังจากติดตั้งเสร็จ ทำให้ไอคอนของแอปหายไปจากหน้าจอหลัก และไม่สามารถมองเห็นได้ ในบางกรณี แอปเหล่านี้จะเปลี่ยนชื่อในการตั้งค่าเพื่อให้ดูเหมือนเป็นแอปที่มีความน่าเชื่อถือ เช่น Google Voice
แอปสามารถทำงานได้เองโดยไม่ต้องให้ผู้ใช้กดเปิด และมีการใช้ Native Code เพื่อเปิดใช้งาน secondary hidden component ในขณะที่ยังคงปิดใช้งาน Launcher Activity เพื่อให้ไอคอนถูกซ่อนไว้
Bitdefender ระบุว่า วิธีนี้สามารถหลบเลี่ยงการป้องกันความปลอดภัยของ Android 13 ขึ้นไปได้ ซึ่งโดยปกติแล้วจะไม่อนุญาตให้แอป ปิดการใช้งาน Launcher Activity ของตัวเอง หลังจากที่เปิดใช้งานไปแล้ว
มัลแวร์ Vapor ยังสามารถหลบเลี่ยงข้อจำกัดของ 'SYSTEM_ALERT_WINDOW' permission บน Android 13 ขึ้นไป โดยการสร้าง Fullscreen Overlay ขึ้นมา
โฆษณาจะถูกแสดงบนหน้าจอนี้โดยซ้อนทับอยู่ด้านบนของแอปอื่น ๆ ทั้งหมด ทำให้ผู้ใช้ไม่สามารถปิดได้ เนื่องจากปุ่ม Back Button ถูกปิดใช้งาน
แอปยังลบตัวเองออกจาก Recent Tasks ดังนั้นผู้ใช้งานจึงไม่สามารถตรวจสอบได้ว่าแอปไหนเป็นตัวการที่เปิดโฆษณา
Bitdefender รายงานว่า แอปบางตัวไม่ได้แค่โชว์โฆษณาเท่านั้น แต่ยังแสดงหน้าจอเข้าสู่ระบบปลอมสำหรับ Facebook และ YouTube เพื่อขโมยข้อมูล credentials หรือขอให้ผู้ใช้กรอกข้อมูลบัตรเครดิตภายใต้ข้ออ้างต่าง ๆ
โดยทั่วไป แนะนำให้ผู้ใช้ Android หลีกเลี่ยงการติดตั้งแอปที่ไม่จำเป็นจากนักพัฒนาที่ไม่น่าเชื่อถือ ตรวจสอบสิทธิ์การเข้าถึงอย่างละเอียด และเปรียบเทียบรายการแอปในหน้าจอหลัก กับรายการแอปที่ติดตั้งอยู่ใน Settings → Apps → See all apps
หากพบว่ามีการติดตั้งแอปใด ๆ ในรายการควรลบออกทันที และทำการสแกนระบบด้วย Google Play Protect หรือแอปแอนตี้มัลแวร์บนมือถืออื่น ๆ
ที่มา : bleepingcomputer
You must be logged in to post a comment.