พบมัลแวร์บน Android ตัวใหม่ ใช้ TensorFlow machine learning models ในการตรวจจับ และโต้ตอบกับโฆษณาโดยอัตโนมัติ
กลไกนี้อาศัยการวิเคราะห์ด้วยภาพโดยใช้การเรียนรู้ของ machine learning แทนที่จะใช้ JavaScript click routines ที่กำหนดไว้ล่วงหน้า และไม่เหมือนกับการโต้ตอบระดับ script-based DOM-level ที่ใช้สคริปต์เหมือนกับมัลแวร์คลิกแบบดั้งเดิม
Hacker ได้ใช้ TensorFlow.js ซึ่งเป็น open-source library ที่ Google พัฒนาขึ้นสำหรับการฝึกอบรม และใช้งาน machine learning models ใน JavaScript โดยอนุญาตให้เรียกใช้ AI models ในเบราว์เซอร์ หรือบนเซิร์ฟเวอร์โดยใช้ Node.js
นักวิจัยจากบริษัทรักษาความปลอดภัยบนมือถือ Dr.Web พบ Android Malware ตัวใหม่นี้ถูกเผยแพร่ผ่าน GetApps ซึ่งเป็น official app store สำหรับอุปกรณ์ Xiaomi
นักวิจัยพบว่า มัลแวร์สามารถทำงานในโหมดที่เรียกว่า 'phantom' ซึ่งใช้เบราว์เซอร์ embedded แบบ WebView-based ที่ซ่อนอยู่เพื่อโหลดหน้าเป้าหมายสำหรับการคลิก และไฟล์ JavaScript นี้มีจุดประสงค์เพื่อทำให้การกระทำต่าง ๆ บนโฆษณาที่แสดงบนเว็บไซต์ที่โหลดเป็นไปโดยอัตโนมัติ
หลังจากโหลด trained model แล้วจากเซิร์ฟเวอร์ของผู้โจมตี เบราว์เซอร์ที่ซ่อนอยู่จะถูกวางบน virtual screen และจะมีการจับภาพหน้าจอเพื่อให้ TensorFlow.js วิเคราะห์ และระบุองค์ประกอบที่เกี่ยวข้อง
โดยการแตะที่องค์ประกอบ UI ที่ถูกต้อง มัลแวร์จะจำลองกิจกรรมปกติของผู้ใช้ วิธีนี้มีประสิทธิภาพ และใช้ได้กับการเปลี่ยนแปลงของโฆษณาในปัจจุบันได้ดีกว่า เนื่องจากโฆษณาส่วนใหญ่เป็นแบบไดนามิก เปลี่ยนโครงสร้างบ่อย และมักใช้ iframe หรือวิดีโอ
โหมดที่สองเรียกว่า 'signalling' ใช้ WebRTC เพื่อสตรีมวิดีโอสดของ virtual browser screen ไปยัง Hacker ทำให้สามารถดำเนินการแบบเรียลไทม์ เช่น การแตะ การเลื่อน และการกรอกข้อความ
Hacker ได้เผยแพร่มัลแวร์ในเกมบนแคตตาล็อกซอฟต์แวร์ GetApps ของ Xiaomi ซึ่งในตอนแรกแอปจะถูกส่งมาโดยไม่มีฟังก์ชันที่เป็นอันตราย และจะได้รับส่วนประกอบที่เป็นอันตรายในการอัปเดตครั้งต่อ ๆ ไป
เกมที่ฝังมัลแวร์บางส่วนที่ Doctor Web ตรวจพบ ได้แก่:
- Theft Auto Mafia — 61,000 ดาวน์โหลด
- Cute Pet House — 34,000 ดาวน์โหลด
- Creation Magic World — 32,000 ดาวน์โหลด
- Amazing Unicorn Party — 13,000 ดาวน์โหลด
- Open World Gangsters — 11,000 ดาวน์โหลด
- Sakura Dream Academy — 4,000 ดาวน์โหลด
นอกจากแอปที่โฮสต์โดย Xiaomi แล้ว มัลแวร์จะถูกเผยแพร่ผ่านเว็บไซต์ third-party APK sites (เช่น Apkmody และ Moddroid) ซึ่งเป็นเวอร์ชันที่แก้ไขแล้ว หรือที่เรียกว่า mod ของแอป Spotify, YouTube, Deezer และ Netflix ดั้งเดิม
นักวิจัยระบุว่า แอปส่วนใหญ่ในหน้า "Editor's Choice" ของ Moddroid นั้นฝังมัลแวร์อยู่
ไฟล์ APK ที่มีมัลแวร์ยังถูกเผยแพร่ผ่านช่องทาง Telegram ด้วย ตัวอย่างแอปบางส่วน ได้แก่ Spotify Pro, Spotify Plus – Official, Moddroid.com และ Apkmody Chat
รวมถึง Dr.Web ยังพบเซิร์ฟเวอร์ Discord ที่มีสมาชิก 24,000 คน กำลังเผยแพร่แอปที่ติดมัลแวร์ชื่อ Spotify X
นักวิจัยตั้งข้อสังเกตว่าแอปเหล่านี้อย่างน้อยบางแอป "ใช้งานได้จริง" ซึ่งช่วยลดความสงสัยของผู้ใช้ ประกอบกับข้อเท็จจริงที่ว่า การโจมตีนั้นดำเนินการอย่างลับ ๆ ใน WebView ที่ซ่อนอยู่ โดยแสดงเนื้อหาบนหน้าจอ virtual screen หมายความว่าเหยื่อจะไม่เห็นสัญญาณใด ๆ ของกิจกรรมที่เป็นอันตราย
แม้ว่า Clickjacking และ ad Fraud จะไม่ใช่ภัยคุกคามโดยตรงต่อความเป็นส่วนตัว และข้อมูลของผู้ใช้ แต่ก็เป็นกิจกรรมของ Hacker ที่ทำกำไรได้มาก ผลกระทบโดยตรงต่อผู้ใช้คือแบตเตอรี่หมดเร็ว และเสื่อมสภาพก่อนเวลาอันควร และค่าใช้จ่ายข้อมูลมือถือที่เพิ่มขึ้น
ผู้ใช้ Android ควรหลีกเลี่ยงการติดตั้งแอปจากภายนอก Google Play โดยเฉพาะอย่างยิ่งเวอร์ชันทางเลือกของแอปยอดนิยมที่โฆษณาว่ามีคุณสมบัติพิเศษ หรือการเข้าถึงการสมัครสมาชิกแบบพรีเมียมฟรี
ที่มา : bleepingcomputer
You must be logged in to post a comment.