Arid Viper แพร่กระจายมัลแวร์บนแอปพลิเคชัน Android ด้วย AridSpy

นักวิจัยจาก ESET แจ้งเตือนแคมเปญการโจมตีของกลุ่ม Arid Viper ที่มุ่งเป้าหมายไปที่ผู้ใช้งาน Android ซึ่งแคมเปญเหล่านี้จะแพร่กระจายมัลแวร์ผ่านเว็บไซต์ที่เหยื่อสามารถดาวน์โหลด และติดตั้งแอปพลิเคชัน Android ได้ด้วยตนเอง

สามแอปพลิเคชันที่ให้บริการบนเว็บไซต์เหล่านี้เป็นแอปพลิเคชันที่ถูกต้อง แต่ถูกเพิ่มโค้ดที่เป็นอันตรายซึ่งเรียกว่า "AridSpy" ซึ่งมีวัตถุประสงค์เพื่อการสอดแนมผู้ใช้งาน

AridSpy ถูกพบครั้งแรกโดย Zimperium ในปี 2021 ในช่วงเวลานั้นมัลแวร์ยังมีเพียงขั้นตอนเดียว โดยมีโค้ดที่เป็นอันตรายทั้งหมดอยู่ในแอปพลิเคชันที่ถูกฝังโทรจันเข้าไป

ถัดมาในครั้งที่สอง นักวิจัยจาก ESET พบการใช้งานในปี 2022 (และต่อมาถูกวิเคราะห์โดย 360 Beacon Labs ในเดือนธันวาคม 2022) โดยผู้ไม่หวังดีได้มุ่งเป้าไปที่งาน FIFA World Cup ในกาตาร์ โดยแคมเปญนี้ใช้แอปพลิเคชัน Kora442 ที่มี AridSpy ฝังอยู่ โดยปลอมเป็นหนึ่งในแอป Kora หลายแอป เช่นเดียวกับตัวอย่างที่วิเคราะห์โดย Zimperium มัลแวร์ยังคงมีเพียงขั้นตอนเดียวในขณะนั้น

ในเดือนมีนาคม 2023 ทีมนักวิจัยจาก 360 Beacon Labs ได้วิเคราะห์แคมเปญ Android อีกหนึ่งแคมเปญที่ดำเนินการโดยกลุ่ม Arid Viper และพบความเชื่อมโยงระหว่างแคมเปญ Kora442 กับกลุ่ม Arid Viper โดยอ้างอิงจากการใช้ไฟล์ myScript.

มัลแวร์ Banking Trojan ตัวใหม่ชื่อ Antidot ปลอมเป็น Google Play Update ปลอม

Antidot เป็น Banking Trojan บน Android ที่กำลังปลอมตัวเป็นแอปพลิเคชัน "Google Play Update" โดยมุ่งเป้าไปที่ผู้ใช้ Android ในหลายภูมิภาค และใช้เทคนิค VNC (Virtual Network Computing) และ Overlay เพื่อเก็บรวบรวมข้อมูลที่สำคัญของผู้ใช้

ในเดือนเมษายนที่ผ่านมา ทาง Cyble Research and Intelligence Labs (CRIL) ได้เผยแพร่การวิเคราะห์รายละเอียดเกี่ยวกับ Android Banking Trojan ตัวใหม่ที่ชื่อ "Brokewell" ซึ่งถูกสร้างขึ้นโดยนักพัฒนามัลแวร์ชื่อ "Baron Samedit" ซึ่งโทรจันนี้มีความสามารในการเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์

เมื่อไม่นานมานี้ ได้พบ Android Banking Trojan ตัวใหม่อีกหนึ่งตัวที่ชื่อว่า "Antidot" ซึ่งถูกพบครั้งแรกในวันที่ 6 May 2024 (a6f6e6fb44626f8e609b3ccb6cbf73318baf01d08ef84720706b205f2864b116) โดยโทรจันตัวนี้ใช้การโจมตีแบบ Overlay เป็นวิธีการหลัก เพื่อเก็บรวบรวมข้อมูลที่สำคัญของผู้ใช้

มัลแวร์ตัวนี้มีคุณสมบัติหลายอย่าง เช่น

VNC : การควบคุมอุปกรณ์จากระยะไกล
Keylogging : การบันทึกการกดแป้นพิมพ์
Overlay attack : การสร้างหน้าต่างปลอมซ้อนทับเพื่อขโมยข้อมูล
Screen recording : การบันทึกหน้าจอ
Call forwarding : การส่งต่อสายโทรศัพท์
Collecting contacts and SMSs : การเก็บรวบรวมรายชื่อผู้ติดต่อ และข้อความ SMS
Performing USSD requests : การส่งคำสั่ง USSD
Locking and unlocking the device : การล็อก และปลดล็อกอุปกรณ์

Antidot ได้ชื่อนี้เนื่องจากการพบสตริง “Antidot” ภายในโค้ดต้นฉบับ ซึ่งใช้สำหรับการบันทึกข้อมูลข้ามคลาสต่าง ๆ มัลแวร์นี้ใช้การเข้ารหัสแบบกำหนดเองเพื่อทำให้สตริงต่าง ๆ ไม่สามารถอ่านได้ รวมถึงการตั้งชื่อคลาสให้เป็นอักษรที่ไม่สามารถเข้าใจได้ ทำให้การวิเคราะห์มีความยากมากขึ้น

โดยมัลแวร์จะปลอมแปลงเป็นแอปพลิเคชัน "Google Play update" โดยแสดงหน้าการอัปเดต Google Play ปลอมเมื่อทำการติดตั้ง หน้าการอัปเดตปลอมนี้ถูกสร้างขึ้นในหลายภาษา เช่น ภาษาเยอรมัน, ฝรั่งเศส, สเปน, รัสเซีย, โปรตุเกส , โรมาเนีย, และอังกฤษ ซึ่งมุ่งเป้าไปที่ผู้ใช้ Android ในภูมิภาคที่ใช้ภาษาต่าง ๆ เหล่านี้

รายละเอียดทางเทคนิค

ตามที่ได้ระบุไว้ก่อนหน้านี้ หลังจากที่ติดตั้งมัลแวร์แล้ว มัลแวร์จะแสดงหน้าอัปเดตปลอมที่มีปุ่ม "ดำเนินการต่อ" ซึ่งจะเปลี่ยนเส้นทางผู้ใช้ไปยังการตั้งค่าการเข้าถึง (Accessibility settings) เช่นเดียวกันกับ Banking Trojans ตัวอื่น ๆ

Command and Control server communication

ในเบื้องหลัง มัลแวร์จะเริ่มการสื่อสารกับ C2 Server "hxxp://46[.]228.205.159:5055/" นอกจากการเชื่อมต่อด้วย HTTP แล้ว Antidot ยังเริ่มการสื่อสารผ่าน WebSocket โดยใช้ไลบรารี socket.

Android Trojan ตัวใหม่ ‘SoumniBot’ หลบหลีกการตรวจจับด้วยเทคนิคที่ชาญฉลาด

พบ Android Trojan ตัวใหม่ชื่อ SoumniBot ในกลุ่มผู้ใช้ที่ตกเป็นเป้าหมายในเกาหลีใต้ โดยการใช้จุดอ่อนในขั้นตอนการแยก และวิเคราะห์ไฟล์ Manifest ในระบบปฏิบัติการ Android (more…)

ฟินแลนด์แจ้งเตือนการโจมตีของมัลแวร์บน Android ทำให้บัญชีธนาคารถูกขโมยได้

สำนักงานขนส่ง และการสื่อสารของฟินแลนด์ (Traficom) แจ้งเตือนเกี่ยวกับแคมเปญมัลแวร์บน Android ที่กำลังพยายามเข้าถึงบัญชีธนาคารออนไลน์ของเหยื่อ (more…)

Group-IB ค้นพบ iOS Trojan ตัวแรกที่รวบรวมข้อมูลการจดจำใบหน้า ซึ่งใช้สำหรับการเข้าถึงบัญชีธนาคาร

ในเดือนตุลาคม 2023 นักวิจัยจาก Group-IB ได้เผยแพร่รายงานเกี่ยวกับโทรจันบน Android ที่เป็นที่ไม่รู้จักมาก่อน Link ซึ่งมุ่งเป้าโจมตีไปที่ธนาคาร และสถาบันการเงินมากกว่า 50 แห่งในเวียดนาม และตั้งชื่อว่า GoldDigger โดยหลังจากการค้นพบโทรจันดังกล่าวในครั้งแรก นักวิจัยได้ทำการติดตามภัยคุกคามดังกล่าวอย่างต่อเนื่อง และพบกลุ่ม Banking Trojans ที่มุ่งเป้าไปที่ภูมิภาคเอเชียแปซิฟิก โดยมุ่งเน้นเป็นพิเศษไปที่สองประเทศคือไทยกับเวียดนาม แต่ก็มีสัญญาณใหม่ ๆ ที่แสดงให้เห็นว่าพื้นที่การโจมตีอาจขยายออกไป ซึ่ง Group-IB มีการส่งการแจ้งเตือนไปยังหน่วยงานที่เป็นเป้าหมายในการโจมตีแล้ว (more…)

ช่องโหว่ใหม่ใน Bluetooth ทำให้แฮ็กเกอร์สามารถเข้าควบคุมอุปกรณ์ iOS, Android, Linux และ MacOS

ช่องโหว่ใหม่ใน Bluetooth ทำให้แฮ็กเกอร์สามารถเข้าควบคุมอุปกรณ์ iOS, Android, Linux และ MacOS

ช่องโหว่ในระบบ Bluetooth บน Android, Linux, macOS, iOS และ Windows เป็นเรื่องสำคัญ เนื่องจากแฮ็กเกอร์สามารถใช้ช่องโหว่เหล่านี้เพื่อเข้าถึงอุปกรณ์ที่มีช่องโหว่โดยไม่ได้รับอนุญาต

โดยช่องโหว่ในโปรโตคอล Bluetooth ทำให้ผู้ไม่หวังดีสามารถทำการขโมยข้อมูลที่มีความสำคัญ, ดักฟังการสื่อสารอย่างลับ ๆ และดำเนินการที่เป็นอันตรายได้

โดยล่าสุดผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ 'Marc Newlin' ได้ค้นพบช่องโหว่ใหม่ในระบบ Bluetooth ที่ทำให้ผู้ไม่หวังดีสามารถเข้าควบคุมอุปกรณ์ iOS, Android, Linux และ MacOS ได้

ช่องโหว่ Bluetooth ใน Android, Linux, macOS, iOS

ผู้ไม่หวังดีสามารถใช้ช่องโหว่ใหม่นี้ โดยไม่ต้องมีการการยืนยันจากผู้ใช้ เพื่อที่จะเชื่อมต่อกับ Bluetooth keyboard Emulated และควบคุมการใช้งานคีย์บอร์ด

ทุกช่องโหว่ที่ถูกพบโดยนักวิจัยด้านความปลอดภัย และมีผลกระทบต่อระบบ iOs, Android, Linux, และ macOS มีดังนี้

CVE-2024-0230
CVE-2023-45866
CVE-2024-21306

อุปกรณ์ HID (Human Interface Device) ใช้รายงานสำหรับการสื่อสาร โดยการรวมข้อมูลเข้าไปในหมวดหมู่ต่าง ๆ เช่น รายงานข้อมูล input (keypresses, mouse actions), รายงานข้อมูล output (commands, state changes), และรายงานคุณสมบัติ (device settings)

รายงานเหล่านี้ไม่ขึ้นอยู่กับช่องทางการสื่อสาร เพราะมีการส่งถึงโฮสต์ผ่านทาง USB หรือ Bluetooth โดยระบบ Bluetooth HID ใช้ L2CAP sockets กับพอร์ต 17 สำหรับ HID Control (feature reports, high latency) และพอร์ต 19 สำหรับ HID Interrupt (input/output reports, low latency)

การเชื่อมต่อ Bluetooth HID ที่เป็นที่รู้จัก จำเป็นต้องมีการเชื่อมต่อกับทั้งสองพอร์ต การเชื่อมต่อคีย์บอร์ดไปที่พอร์ต 17 และ 19 นั้นมักเกี่ยวข้องกับการจับคู่ และการสร้างคีย์เชื่อมต่อ (link key) เพื่อการเข้ารหัสข้อมูล โดยการทำ bonding จะทำให้ระบบบันทึกคีย์เพื่อให้สามารถใช้ในครั้งถัดไปได้

ในขณะเดียวกัน การจับคู่นอกย่านความถี่ช่วยให้สามารถจับคู่ และเชื่อมต่อผ่านช่องสัญญาณที่ไม่ใช่ Bluetooth เช่น NFC หรือ USB ความสามารถในการจับคู่มีการตรวจสอบความถูกต้องที่โฮสต์ หรืออุปกรณ์ต่อพ่วง

ระบบปฏิบัติการ Linux ที่ได้รับผลกระทบ

Ubuntu
Debian
Redhat
Amazon Linux
Fedora
Gentoo
Arch
OpenEmbedded
Yocto
NixOS

อุปกรณ์ที่มีช่องโหว่จะอนุญาตให้ทำการจับคู่ได้โดยไม่ต้องมีการยืนยันจากผู้ใช้ โดยรองรับการจับคู่แป้นพิมพ์ที่ไม่ผ่านการรับรองความถูกต้อง

ความสำเร็จในการบังคับจับคู่ และการกดแป้นพิมพ์ ขึ้นอยู่กับความสามารถในการค้นหาโฮสต์, ความสามารถในการจับคู่ NoInputNoOutput และการเข้าถึง L2CAP ที่เป็นพอร์ต 17 และ 19

Linux และ Android จะเปิดเผยพอร์ตเมื่ออยู่ในโหมด Discoverable ในขณะที่ macOS, iOS, และ Windows จะจำกัดการเข้าถึงอุปกรณ์ที่รู้จักเท่านั้น การโจมตีบน Linux และ Android ส่วนใหญ่สามารถทำงานได้กับอะแดปเตอร์ Bluetooth, ในขณะที่ macOS, iOS, และ Windows จำเป็นต้องใช้อะแดปเตอร์ที่ใช้เทคโนโลยี Broadcom

ที่มา : cybersecuritynews.

มัลแวร์ Xamalicious ตัวใหม่บน Android ถูกติดตั้งไปแล้วกว่า 330,000 ครั้งบน Google Play

มัลแวร์ Xamalicious ตัวใหม่บน Android ถูกติดตั้งไปแล้วกว่า 330,000 ครั้งบน Google Play

พบ Android backdoor ที่ยังไม่เคยถูกพบมาก่อนในชื่อ 'Xamalicious' ได้ถูกติดตั้งไปยังอุปกรณ์ Android ไปแล้วรวมกันกว่า 338,300 เครื่อง ผ่านแอปพลิเคชันที่เป็นอันตรายบน Google Play ซึ่งเป็น App Store อย่างเป็นทางการของ Android

(more…)

แอปพลิเคชันสินเชื่อปลอม ถูกดาวน์โหลดแล้วกว่า 12 ล้านครั้งใน Google Play

พบแอปพลิเคชันให้บริการสินเชื่อ ซึ่งอ้างว่าจะให้สินเชื่อกับผู้ใช้ภายหลังจากการกรอกรายละเอียดข้อมูลเพื่อสมัครใช้งาน แต่จุดประสงค์ที่แท้จริงคือการขโมยข้อมูล และนำไปข่มขู่ แบล็คเมล์ เหยื่อที่หลงเชื่อ
(more…)

Google ยืนยันช่องว่างระหว่างแพตช์ของ Android ทำให้การโจมตีช่องโหว่แบบ n-day อันตรายเทียบเท่ากับ zero-days

Google ได้เผยแพร่รายงานช่องโหว่ zero-day ประจำปี โดยนำเสนอสถิติที่เกิดขึ้นจริงตั้งแต่ปี 2022 และเน้นปัญหาที่มีมาอย่างยาวนานในแพลตฟอร์ม Android และการโจมตีโดยใช้ช่องโหว่ที่ถูกเปิดเผยมาเป็นระยะเวลานาน

โดยเฉพาะอย่างยิ่ง รายงานของ Google เน้นไปที่ปัญหาของการโจมตีช่องโหว่แบบ n-days ใน Android ที่มีลักษณะเดียวกับ zero-day สำหรับผู้โจมตี (more…)

CISA แจ้งเตือนหน่วยงานในรัฐบาลเร่งแก้ไขช่องโหว่ของ driver ใน Android

U.S. Cybersecurity and Infrastructure Security Agency (CISA) หรือ หน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ ออกคำสั่งแจ้งเตือนไปยังหน่วยงานของรัฐบาลกลาง ให้เร่งทำการอัปเดตเพื่อแก้ไขช่องโหว่การยกระดับสิทธิ์ของ Arm Mali GPU kernel driver ที่มีระดับความรุนแรงสูง โดยได้ถูกเพิ่มไปในรายการช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี KEV (Known Exploited Vulnerabilities) ซึ่งปัจจุบันได้มีการออกอัปเดตเพื่อแก้ไขช่องโหว่ดังกล่าวแล้วใน Bifrost, Valhall GPU Kernel Driver r30p0 และ Midgard Kernel Driver r31p0 จึงได้แจ้งเตือนให้ผู้ใช้งานเร่งทำการอัปเดตโดยด่วน (more…)