Dinesh Venkatesan ผู้เชี่ยวชาญด้านความปลอดภัยของ Symantec พบแอพพลิเคชันสำหรับสร้าง Ransomware บน Android จากโฆษณาผ่าน Social Network Messaging และบนเว็บบอร์ดเกี่ยวกับการแฮ็คของจีน ที่ช่วยให้แฮ็คเกอร์สามารถดาวน์โหลดและใช้ Trojan Development Kits (TDKs) สร้าง Ransomware เป็นของตัวเองได้ ซึ่ง Ransomware ที่ถูกสร้างขึ้นมานี้จะมีพฤติกรรมคล้ายกับ Lockdroid Ransomware คือจะทำการล็อกอุปกรณ์ไม่ให้ผู้ใช้สามารถใช้งานได้ และเปลี่ยนรหัส PIN

จุดเด่นของแอปพลิเคชันนี้ คือ การทำงานโดยใช้ GUI แบบง่ายๆ ที่ช่วยให้ผู้ใช้สามารถกำหนดค่าได้โดยที่แทบไม่ต้องใช้ความรู้ด้านการเขียนโปรแกรม เมื่อดาวน์โหลดแอพพลิเคชันมาติดตั้ง หลังเปิดใช้งานแอพพลิเคชันจะให้ใส่ข้อมูลสำหรับสร้าง Ransomware เป็นของตัวเอง ได้แก่
- ข้อความที่เรียกค่าไถ่บนหน้าจอ
- รหัสที่ใช้ปลดล็อคอุปกรณ์
- ไอคอนของ ransomware-laced app
- กระบวนการเชิงคณิตศาสต์สำหรับการปรับแต่งโค้ดแบบสุ่ม
- Animations ที่จะให้แสดงผลบนหน้าจอของเครื่องที่ติด Ransomware

Recommendation
- Backups ข้อมูลอย่างสม่ำเสมอ
- ผู้ใช้งานไม่ควรติดตั้งแอปพลิเคชันที่มีแหล่งที่มาไม่ชัดเจน
- ไม่คลิกลิงก์หรือเปิดไฟล์ ที่มาพร้อมกับอีเมลที่น่าสงสัย
- ให้ความสำคัญกับสิทธิ์ที่ app ร้องขอทุกครั้ง

ที่มา : BLEEPINGCOMPUTER

Spyware ที่สั่งการผ่าน Telegram’s Bot API โดยมีเป้าหมายที่ผู้ใช้ Android ในประเทศอิหร่าน
Spyware จะหลอกว่าตัวมันเองนั้นปลอดภัยโดยการสวมรอยเป็นแอปพลิเคชัน Cleaner Pro หรือ Profile Checker นอกจากนี้ยังมีแอปพลิเคชันอันตรายสำหรับ Facebook เช่นกัน โดยจะมีคำบรรยายว่าจะช่วยให้ผู้ใช้ทราบว่าใคร “unfriended” ผู้ใช้ไปบ้าง เมื่อผู้ใช้ดาวน์โหลดแอปพลิเคชันก็จะขอข้อมูล Telegram ของผู้ใช้เพื่อเรียกดูจำนวนผู้ที่เคยดูโปรไฟล์ของผู้ใช้ หลังจากนั้นแอปพลิเคชันจะหายไปแต่ความจริงแล้วแอบทำงานอย่างลับๆ

เมื่ออุปกรณ์ของเหยื่อติดต่อสื่อสารกับผู้บุกรุกผ่านทาง Telegram Bot API ที่สามารถส่งและรับคำสั่งได้แล้วสิ่งแรกที่แอปนี้ทำคือบันทึกภาพของเหยื่อโดยใช้กล้องด้านหน้าของอุปกรณ์ จะมีการขโมยข้อความรวมถึงหมายเลขโทรศัพท์ของผู้ส่งและผู้รับ , รายชื่อผู้ติดต่อ , Google email address , รูปถ่าย , ข้อมูลเกี่ยวกับแอปพลิเคชันที่ติดตั้ง โดยข้อมูลจะถูกจัดเก็บไว้อย่างผิดกฎหมายในไฟล์ใหม่ที่แยกต่างหากสำหรับการอัปโหลดภายหลังไปยังเซิร์ฟเวอร์ของผู้โจมตี และยังสามารถลบหรือร้องขอไฟล์ส่วนตัวของเหยื่อได้ไม่ใช่เฉพาะไฟล์ที่แอปฯของผู้ไม่หวังดีสร้างขึ้นมาใหม่
Spyware ได้อัปโหลดไฟล์ทั้งหมดผ่านทางสคริปต์ PHP และบันทึกไว้ในไดเร็กทอรี / rat / uploads บนเซิร์ฟเวอร์ โดยไฟล์เหล่านี้ทุกคนที่รู้ URL สามารถเข้าถึงได้ สาเหตุอาจเพราะผู้ไม่หวังดีวางมาตรการรักษาความปลอดภัยไม่เพียงพอ

ผู้ใช้งานสามารถหลีกเลี่ยง Spyware และการโจมตีรูปแบบอื่นได้ โดยปฎิบัติตามนี้
- ติดตั้งแอปพลิเคชันจากแหล่งที่เชื่อถือได้เท่านั้น
- สังเกตแอปพลิเคชันอื่นๆผู้พัฒนา และควรอ่านรีวิวแต่ไม่ควรไว้ใจแอปฯที่มีคำรีวิวที่ไม่น่าใว้ใจ เช่น “แอปที่ดีที่สุดตลอดกาล” , “Thank you!” , “รักแอปฯนี้ที่สุดเลย”
- ควรอ่านรายละเอียดสิทธิ์การเข้าถึงที่แอปพลิเคชันร้องขอ

ที่มา : avast

พบ Banking Trojan ใหม่ชื่อว่า Android.BankBot.211.origin ซึ่งมีฟังก์ชันการทำงานคือ การควบคุมศูนย์กลางการทำงานของ Mobile Devices และขโมยข้อมูลลับของลูกค้าด้วยฟังก์ชันบริการของเครื่องเหยื่อที่สามารถใช้เข้าถึงได้ เมื่อ Trojan ดังกล่าวสามารถฝังตัวเองเข้าไปได้โดยสมบูรณ์แบบ และสั่งรันตัวเองอีกครั้งแล้ว ตัว Trojan จะพยายามทำให้ตัวเองได้สิทธิ์การเข้าถึงข้อมูลผ่านบริการการเข้าถึงต่างๆ Android.

Android RAT(โทรจันสั่งการระยะไกล)ตัวใหม่ที่ตรวจพบภายใต้ชื่อ GhostCtrl ถูกพบโดย Trend Micro ในขณะที่กำลังโจมตีองค์กรสุขภาพของประเทศอิสราเอล โทรจันชนิดนี้มีเป้าหมายหลักที่ระบบปฏิบัติการ Windows กับอุปกรณ์ Android ของผู้ที่เกี่ยวข้องกับองค์กร สามารถล็อกอุปกรณ์เคลื่อนที่ได้โดยการรีเซ็ต PIN และแสดงใบเสร็จค่าไถ่สำหรับผู้ที่ติดไวรัส

GhostCtrl RAT ถูกพัฒนาต่อยอดมาจาก OmniRAT ซึ่งเป็น RATs ยอดนิยมที่มีผู้นำไปพัฒนาต่อมากมายหลายแบบ มีความสามารถที่อันตรายหลายอย่าง เช่น
- สามารถ root อุปกรณ์ Android ได้
- สื่อสารกับ C&C Server ที่เปิดโดเมนโดยใช้ข้อมูลปลอม
- ควบคุมระบบฟังก์ชั่นในอุปกรณ์ เช่น การโทร , Wi-Fi , Mode ของโทรศัพท์
- Download , Upload หรือแก้ไขข้อมูลของ File ต่างๆได้

นอกจากนี้ยังพบฟังก์ชันการทำงานที่ไม่พบใน Android RATs ทั่วๆไป
- ลบหรือเปลี่ยนรหัสผ่านโดยผู้โจมตีได้
- เปลี่ยนแปลงการแจ้งเตือนต่างๆ
- ควบคุม Bluetooth เพื่อค้นหาและเชื่อมต่อกับอุปกรณ์อื่น

bleepingcomputer

นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท Check Point ได้รายงานช่องโหว่ในชิปของ Qualcomm ซึ่งเป็นผู้ผลิตชิปสำหรับโทรศัพท์มือถือ/แท็บเล็ตที่ได้รับความนิยม โดยช่องโหว่ที่พบนี้ ส่งผลให้อุปกรณ์ Android ที่ใช้งานชิปของ Qualcomm (ซีพียู Snapdragon) สามารถถูก root เครื่องได้หากติดตั้งแอปพลิเคชันอันตราย

ปัญหาของช่องโหว่ที่พบนี้คือแอปพลิเคชันใน Android สามารถเจาะผ่านช่องโหว่ของชิปได้โดยไม่จำเป็นต้องขอสิทธิ์ (Permission) จากระบบปฏิบัติการ นั่นทำให้การตรวจสอบสิทธิ์ก่อนติดตั้งแอปพลิเคชันนั้นไม่สามารถช่วยแยกแยะได้ว่าเป็นแอปพลิเคชันอันตรายหรือไม่

ช่องโหว่ที่นักวิจัยค้นพบมีทั้งหมด 4 จุด ทาง Qualcomm แจ้งว่าได้ประสานงานกับทาง Google เพื่อออกแพตช์แก้ไขช่องโหว่ไปกับแพตช์ของระบบปฏิบัติการ Android แล้ว โดยใน Android ที่อัปเดตแพตช์ความมั่นคงปลอดภัยประจำเดือนสิงหาคม 2559 จะได้รับการแก้ไขช่องโหว่ไปแล้ว 3 จุด ส่วนช่องโหว่อีก 1 จุดที่เหลือจะถูกแก้ไขในอัปเดตประจำเดือนกันยายน 2559 รายการของบางส่วนของอุปกรณ์ได้รับผลกระทบ Samsung Galaxy S7 and Samsung S7 Edge, Sony Xperia Z Ultra, OnePlus One, OnePlus 2 and OnePlus 3, Google Nexus 5X, Nexus 6 and Nexus 6P, Blackphone 1 and Blackphone 2, HTC One, HTC M9 and HTC 10, LG G4, LG G5, and LG V10, New Moto X by Motorola, BlackBerry Priv

ที่มา: thehackernews

Intel Security Mobile Research แจ้งเตือนมัลแวร์ใน Android ที่แพร่ระบาดในประเทศแถบยุโรปตั้งแต่เมื่อต้นปีที่ผ่านมา วิธีการแพร่กระจายคือแทรกสคริปต์ในโฆษณาตามหน้าเว็บไซต์ โดยตัวสคริปต์จะสั่งให้เครื่องของผู้ใช้ดาวน์โหลดไฟล์ Android_Update_6.apk ทันทีที่เข้าเว็บไซต์ ซึ่งเป็นแอปพลิเคชันที่หลอกว่าเป็นไฟล์อัปเดตของ Android ไฟล์ apk ที่ดาวน์โหลดมาเป็นมัลแวร์

หากผู้ใช้ติดตั้งแอปพลิเคชันดังกล่าว จะถูกขโมยข้อมูล เช่น รายละเอียดอุปกรณ์ที่ใช้อยู่ หมายเลขซิม หมายเลข IMEI การเชื่อมต่อเครือข่าย เป็นต้น นอกจากนี้มัลแวร์ยังสามารถขโมยข้อมูล SMS ในเครื่องแล้วส่งออกไปยังเซิร์ฟเวอร์ที่ตั้งอยู่ในต่างประเทศได้อีกด้วย

ในประเทศไทยเคยพบการโจมตีลักษณะนี้เช่นกัน สำหรับวิธีการป้องกัน ผู้ใช้งานไม่ควรติดตั้งแอปพลิเคชันที่มีแหล่งที่มาไม่ชัดเจน เพื่อลดความเสี่ยงอาจติดตั้งเฉพาะแอปพลิเคชันจาก Play Store เท่านั้น

ที่มา : ThaiCERT

Google ได้ออกแพทซ์ล่าสุดมาด้วยกันถึง 16 ชุด โดยหนึ่งในนั้นเป็นช่องโหว่ Remote Code Execution ที่เปิดให้ผู้โจมตีทำการเข้าควบคุม Android ของผู้ใช้งานได้ผ่านระบบ mediaserver บน Android
ผู้ใช้งาน Google Nexus จะได้รับอัพเดตก่อน ในขณะที่ผู้ผลิตรายอื่นๆ จะได้รับ Source Code ผ่าน Android Open Source Project (AOSP) ภายใน 48 ชั่วโมง และปัจจุบันยังไม่มีรายงานถึงการใช้ช่องโหว่เหล่านี้โจมตีแต่อย่างใด

ที่มา : NETWORKWORLD

นักวิจัยด้านความปลอดภัยจาก Core Security’s CoreLabs พบช่องโหว่หลายช่องโหว่บนแอพพลิเคชั่น Lenovo SHAREit ของ Android และ Windows ที่ใช้สำหรับส่งไฟล์ รูป เพลงและแอพระหว่างเครื่องโดยไม่ต้องต่อเน็ต หนึ่งในนั้นคือมีช่องโหว่ที่มีการฝังรหัสผ่าน 12345678 ไว้ในแอพพลิเคชั่นดังกล่าว

ซึ่งสามารถใช้รหัสผ่าน 12345678 เข้าใช้ Wi-Fi ส่งผลให้สามารถดูไฟล์ต่างๆ แต่ไม่สามารถดาวน์โหลดได้ โดยจะทำงานผ่าน HTTP Request ไปยังเครื่องที่เปิดโปรแกรม SHAREit อยู่นั้นเอง อีกทั้งการถ่ายโอนไฟล์ที่ทำงานผ่าน HTTP ไม่มีการเข้ารหัสนั้นส่งผลให้อาจถูกดักข้อมูลระหว่าง Network หรือการทำ Man in the middle ได้อีกด้วย

ช่องโหว่นั้นมีผลกระทบกับ SHAREit เวอร์ชั่น 3.0.18_ww บน Android และ SHAREit เวอร์ชั่น 2.5.1.1 บน Windows อย่างไรก็ตามทาง Lenovo ได้ออกแพทช์อัพเดทมาเพื่อแก้ไขปัญหาดังกล่าวนี้แล้ว

ที่มา : threatpost

Yan Zhu นักวิจัยด้านความปลอดภัยพบช่องโหว่ของแอพพลิเคชั่น Gmail บน Android ที่สามารถปลอมอีเมลของผู้ส่งได้ หรือเรียกเทคนิคนี้ว่า E-mail Spoofing
อาจส่งผลกระทบในการถูก Phishing จากผู้ที่ไม่หวังดีได้ อย่างไรก็ตาม Yan Zhu ได้พบช่องโหว่ที่สามารถเปลี่ยน display name อาจส่งผลทำให้ผู้รับอีเมลไม่สามารถรู้ได้ว่า ผู้ส่งใช่คนที่ส่งอีเมลมาจริงหรือไม่
Yan Zhu ได้สาธิตการส่งอีเมลโดยเปลี่ยน display name เป็น yan และปลอมอีเมลผู้ส่งเป็น security@google.

FireEye ได้ตรวจพบ Mobile Malicious Adware ตระกูลใหม่ที่สามารถควบคุมเครื่อง Android ที่ติดเชื้อนี้ได้อย่างสมบูรณ์ และคาดว่าจะมีต้นตอมาจากจีน โดยทาง FireEye ได้ตั้งชื่อ Malicious Adware ตัวนี้ว่า “Kemoge” ตาม Domain Name ของ Command and Control (C&C) Server ว่า aps.