มีการโฆษณา Malware-as-a-service (MaaS) ตัวใหม่บน Android ที่ชื่อว่า Cellik ในเว็บบอร์ดอาชญากรรมทางไซเบอร์ใต้ดิน โดยมาพร้อมกับความสามารถที่หลากหลาย รวมถึงฟังก์ชันในการฝังมัลแวร์ลงในแอปพลิเคชันใดก็ได้ที่มีอยู่บน Google Play Store
ผู้โจมตีสามารถเลือกแอปจาก Official store ของ Android เพื่อสร้างเวอร์ชันที่ฝัง Trojan ซึ่งยังคงดูน่าเชื่อถือ รวมถึงรักษาหน้าตา และการทำงานของแอปต้นฉบับเอาไว้ได้เหมือนเดิม
การที่แอปยังคงทำงาน และมีฟีเจอร์ต่าง ๆ ตามที่ผู้ใช้คาดหวัง ทำให้การติดมัลแวร์ Cellik สามารถหลบซ่อนการตรวจจับได้เป็นเวลานาน นอกจากนี้ผู้ขายยังอ้างว่า การรวมมัลแวร์ในลักษณะนี้อาจช่วยให้หลบเลี่ยงระบบ Play Protect ได้ แม้ว่าข้อเท็จจริงเรื่องนี้จะยังไม่ได้รับการยืนยันก็ตาม
iVerify บริษัทด้านความปลอดภัยบนมือถือ ได้ตรวจพบ Cellik บนเว็บบอร์ดใต้ดิน ซึ่งมีการเสนอขายในราคา 150 ดอลลาร์ต่อเดือน (ประมาณ 5,200 บาท) หรือ 900 ดอลลาร์ (ประมาณ 31,000 บาท) สำหรับการใช้งานตลอดชีพ
ความสามารถของ Cellik
Cellik เป็นมัลแวร์บน Android แบบครบเครื่อง ที่สามารถบันทึก และสตรีมหน้าจอของเหยื่อได้แบบ real-time อีกทั้งยังสามารถดักจับการแจ้งเตือนของแอป, เข้าดูระบบไฟล์ภายในเครื่อง, ลักลอบส่งออกไฟล์, ล้างข้อมูล และสื่อสารกับเซิร์ฟเวอร์ C2 ผ่านช่องทางที่มีการเข้ารหัส
นอกจากนี้ มัลแวร์ยังมีฟีเจอร์ Hidden Browser Mode ซึ่งช่วยให้ผู้โจมตีสามารถเข้าเว็บไซต์ต่าง ๆ ผ่านอุปกรณ์ที่มีมัลแวร์ฝังโดยอาศัย Cookies ที่เหยื่อบันทึกเอาไว้ได้
ระบบการฝังตัวในแอป (App Injection System) ช่วยให้ผู้โจมตีสามารถสร้างหน้าจอล็อกอินปลอมขึ้นมาทับหน้าจอจริง หรือฝังโค้ดอันตรายลงในแอปใดก็ได้ เพื่อขโมยรหัสผ่าน และข้อมูลบัญชีของเหยื่อ
รายการความสามารถดังกล่าวยังรวมถึงทางเลือกในการฝัง Payload ลงในแอปที่ติดตั้งอยู่ในเครื่องอยู่แล้ว ซึ่งจะทำให้การระบุต้นตอของการติดมัลแวร์นั้นทำได้ยากยิ่งขึ้น เนื่องจากแอปพลิเคชันที่ผู้ใช้เชื่อถือมานานจู่ ๆ ก็อาจกลายเป็นภัยคุกคามขึ้นมาทันที
อย่างไรก็ตาม จุดเด่นสำคัญอยู่ที่การเชื่อมต่อกับ Play Store ภายในตัวสร้าง APK ของ Cellik ซึ่งช่วยให้ผู้โจมตีสามารถเข้าไปเลือกดูแอปใน Store, เลือกแอปที่ต้องการ และสร้างเวอร์ชันอันตรายของแอปเหล่านั้นขึ้นมาได้
iVerify อธิบายว่า "ผู้ขายอ้างว่า Cellik สามารถหลบเลี่ยงระบบความปลอดภัยของ Google Play ได้โดยการ Wrapping Payload ไว้ในแอปที่ดูน่าเชื่อถือ ซึ่งเท่ากับเป็นการปิดกั้นการตรวจจับของ Play Protect ไปในตัว"
"ในขณะที่ปกติแล้ว Google Play Protect จะแจ้งเตือนแอปที่ไม่รู้จักหรือเป็นอันตราย แต่ Trojan ที่ซ่อนตัวอยู่ในแพ็กเกจแอปยอดนิยมอาจหลุดรอดจากการตรวจสอบโดยอัตโนมัติ หรือระบบสแกนในตัวอุปกรณ์ไปได้"
เพื่อความปลอดภัย ผู้ใช้ Android ควรปฏิบัติ ดังต่อไปนี้ หลีกเลี่ยงการติดตั้งไฟล์ APK จากเว็บไซต์ที่น่าสงสัย (Sideloading) นอกเสียจากว่าจะเชื่อถือผู้พัฒนานั้นได้จริง ๆ, ตรวจสอบให้แน่ใจว่าได้เปิดใช้งาน Play Protect บนอุปกรณ์, ตรวจสอบสิทธิ์การเข้าถึง (Permissions) ของแอปต่าง ๆ และคอยหมั่นสังเกตกิจกรรมที่ผิดปกติอยู่เสมอ
ที่มา : bleepingcomputer
You must be logged in to post a comment.