มีการค้นพบแอป Android ที่เป็นอันตรายจำนวน 77 แอปบน Google Play ซึ่งมียอดดาวน์โหลดรวมกันมากกว่า 19 ล้านครั้ง โดยแอปเหล่านี้ได้แพร่กระจายมัลแวร์หลายรูปแบบไปยังผู้ใช้งานอย่างกว้างขวาง
ทีม ThreatLabs ของ Zscaler ตรวจพบการแพร่กระจายของมัลแวร์ครั้งนี้ ในระหว่างการตรวจสอบการติดมัลแวร์ระลอกใหม่ของ Anatsa banking trojan (หรือ Tea Bot) ที่มุ่งเป้าโจมตีอุปกรณ์ Android โดยเฉพาะ
แม้ว่ากว่า 66% ของแอปที่เป็นอันตรายจะมีส่วนประกอบของแอดแวร์ แต่ Joker ถือเป็นมัลแวร์บน Android ที่พบบ่อยที่สุด โดยปรากฏในเกือบหนึ่งในสี่ของแอปที่ถูกวิเคราะห์
เมื่อมัลแวร์ Joker ถูกติดตั้งลงในอุปกรณ์ มันสามารถอ่านข้อความ และส่งข้อความ, ถ่ายภาพหน้าจอ, โทรออก, ขโมยรายชื่อผู้ติดต่อ, เข้าถึงข้อมูลของอุปกรณ์ และสมัครบริการแบบพรีเมียมโดยที่ผู้ใช้ไม่รู้ตัว
แอปบางส่วนซึ่งมีจำนวนน้อยกว่านั้น ยังรวมถึงมัลแวร์ประเภท Maskware ซึ่งเป็นคำที่ใช้เรียกแอปอันตรายที่ปลอมตัวมาในรูปแบบที่ดูไม่น่าสงสัยใด ๆ
มัลแวร์ประเภทนี้มักซ่อนตัวอยู่ในรูปแบบของแอปพลิเคชันที่ดูน่าเชื่อถือ และทำงานได้ตามปกติ แต่แอบขโมยข้อมูลสำคัญต่าง ๆ เช่น ข้อมูลล็อกอิน, ข้อมูลทางการเงิน, ตำแหน่งที่ตั้ง และข้อความ SMS นอกจากนี้ยังสามารถใช้เป็นช่องทางในการแพร่กระจายมัลแวร์อื่น ๆ ได้อีกด้วย
นอกจากนี้ นักวิจัยจาก Zscaler ยังตรวจพบมัลแวร์ Joker ในเวอร์ชันหนึ่งที่มีชื่อว่า Harly ซึ่งมาในรูปแบบของแอปที่ดูถูกต้องตามปกติ แต่ซ่อนโค้ดอันตรายไว้อย่างแนบเนียนในระดับลึกของโปรแกรม เพื่อหลบเลี่ยงการตรวจจับระหว่างกระบวนการตรวจสอบก่อนเผยแพร่บนแพลตฟอร์ม
นักวิจัยจาก Human Security เปิดเผยในรายงานเมื่อเดือนมีนาคมที่ผ่านมาว่า มัลแวร์ Harly มีความสามารถในการซ่อนตัวอยู่ในแอปยอดนิยมหลากหลายประเภท ไม่ว่าจะเป็นเกม, แอปวอลเปเปอร์, แอปไฟฉาย หรือแอปแต่งรูป
Anatsa trojan keeps evolving
จากรายงานของ Zscaler พบว่า Anatsa banking trojan เวอร์ชันล่าสุดได้ขยายขอบเขตการโจมตี โดยเพิ่มจำนวนแอปธนาคาร และแอปคริปโตที่เป็นเป้าหมายจาก 650 แอป เป็น 831 แอป ซึ่งมันจะพยายามขโมยข้อมูลจากผู้ใช้งาน
ผู้โจมตีใช้แอปพลิเคชันชื่อ Document Reader – File Manager เป็นเครื่องมือล่อ โดยแอปนี้จะหลีกเลี่ยงกระบวนการตรวจสอบโค้ดของ Google ด้วยการไม่แสดงพฤติกรรมที่เป็นอันตรายในทันที แต่จะดาวน์โหลดโค้ดของ Anatsa มาติดตั้งในภายหลัง
แคมเปญล่าสุดได้เปลี่ยนวิธีจากการโหลดโค้ดแบบไดนามิกผ่าน DEX ระยะไกลที่ใช้ในอดีต มาเป็นการติดตั้ง Payload โดยตรง โดยจะแตกไฟล์จาก JSON แล้วลบไฟล์เหล่านั้นทิ้งทันที
มัลแวร์มีการเปลี่ยนชื่อแพ็กเกจ และค่าแฮชอย่างสม่ำเสมอเพื่อหลีกเลี่ยงการตรวจจับ นอกจากนี้ยังใช้ไฟล์ APK ที่มีโครงสร้างผิดปกติเพื่อทำลายการวิเคราะห์แบบสถิติ ใช้การถอดรหัสข้อความด้วย DES ในระหว่างการทำงานจริง และตรวจจับการจำลองสภาพแวดล้อมเพื่อหลบเลี่ยงการตรวจจับ
ในด้านความสามารถ Anatsa ใช้ประโยชน์จากช่องโหว่ของสิทธิ์การเข้าถึง (Accessibility) บนระบบ Android เพื่อยกระดับสิทธิ์ของตนเองโดยอัตโนมัติ
มัลแวร์จะดึงหน้าเว็บฟิชชิงจากเซิร์ฟเวอร์ของตัวเอง เพื่อหลอกลวงผู้ใช้งานมากกว่า 831 แอปพลิเคชัน โดยล่าสุดได้ขยายเป้าหมายไปยังประเทศเยอรมนี และเกาหลีใต้ อีกทั้งยังมีการเพิ่มโมดูล keylogger เพื่อขโมยข้อมูล generic data
การโจมตีล่าสุดของ Anatsa นี้เป็นผลสืบเนื่องจากแคมเปญก่อนหน้านี้ที่ถูกค้นพบโดย ThreatFabric เมื่อเดือนกรกฎาคม ซึ่งในครั้งนั้นโทรจันได้แอบเข้าสู่ Google Play โดยปลอมตัวเป็นแอปดูไฟล์ PDF และสามารถหลอกให้มีผู้ดาวน์โหลดได้มากกว่า 50,000 ครั้ง
Anatsa เคยเปิดปฏิบัติการมาแล้วหลายครั้งก่อนหน้านี้ รวมถึงการโจมตีผ่านแอปอ่าน PDF และสแกน QR Code เมื่อเดือนพฤษภาคม 2024 ซึ่งทำให้อุปกรณ์ติดมัลแวร์ไปกว่า 70,000 เครื่อง การปลอมตัวเป็นแอปทำความสะอาดเครื่อง และอ่าน PDF ในเดือนกุมภาพันธ์ปีเดียวกัน ซึ่งมียอดดาวน์โหลดสูงถึง 150,000 ครั้ง และก่อนหน้านั้น การปล่อยแอปดู PDF ปลอมในเดือนมีนาคม 2023 ก็สามารถล่อลวงให้มีผู้ติดตั้งได้กว่า 30,000 ราย
Malicious app wave on Google Play
นอกเหนือจากแอปอันตรายของ Anatsa ที่ตรวจพบในครั้งนี้ Zscaler ยังพบว่า แอปส่วนใหญ่เป็นกลุ่มแอดแวร์ ตามมาด้วยมัลแวร์ตระกูล Joker, Harly และมัลแวร์รูปแบบต่าง ๆ
ThreatLabz พบว่าแอปแอดแวร์บน Google Play Store กำลังเพิ่มจำนวนขึ้นอย่างรวดเร็ว พร้อมกับมัลแวร์ต่าง ๆ อย่าง Joker, Harly และ banking trojan อย่าง Anatsa นักวิจัยจาก Zscaler อย่าง Himanshu Sharma อธิบายว่าในทางกลับกัน มัลแวร์กลุ่ม Facestealer และ Coper กลับมีแนวโน้มลดลงอย่างชัดเจน
แอปประเภทเครื่องมือ และแอปที่ใช้ปรับแต่งส่วนตัวกลายเป็นตัวล่อสำคัญที่ดึงดูดให้ผู้ใช้ดาวน์โหลดแอปเหล่านี้มากกว่าครึ่งหนึ่ง ดังนั้นหมวดหมู่เหล่านี้ รวมถึงแอปบันเทิง, ถ่ายรูป และออกแบบ จึงควรถูกมองว่าเป็นกลุ่มความเสี่ยงสูงเช่นกัน
แอปอันตรายทั้งหมด 77 แอป รวมถึงแอปที่มี Anatsa ถูกดาวน์โหลดไปแล้วถึง 19 ล้านครั้งจาก Google Play
Zscaler รายงานว่า Google ได้ลบแอปอันตรายที่ตรวจพบทั้งหมดออกจาก Play Store หลังจากได้รับแจ้ง ผู้ใช้ Android ควรตรวจสอบให้แน่ใจว่าได้เปิดใช้งานบริการ Play Protect บนอุปกรณ์ เพื่อช่วยแจ้งเตือน และลบแอปที่เป็นอันตราย
หากติดโทรจัน Anatsa จำเป็นต้องติดต่อธนาคารโดยตรงเพื่อปกป้องบัญชีธนาคารออนไลน์ หรือข้อมูลเข้าสู่ระบบที่อาจถูกแฮ็ก
เพื่อป้องกันความเสี่ยงจากมัลแวร์บน Google Play ควรดาวน์โหลดแอปจากผู้พัฒนาที่เชื่อถือได้ อ่านรีวิวผู้ใช้อย่างน้อยสองสามรายการ และให้สิทธิ์แอปเฉพาะในส่วนที่จำเป็นสำหรับการทำงานหลักของแอปเท่านั้น
ที่มา: bleepingcomputer
You must be logged in to post a comment.