Google ระบุว่าในปี 2565 ได้แบนบัญชีนักพัฒนาซอฟต์แวร์กว่า 173,000 บัญชี เพื่อบล็อกการทำงานของมัลแวร์จากอุปกรณ์ของผู้ใช้ Android ด้วยแอปพลิเคชันที่เป็นอันตราย โดย Google เปิดเผยในรายงานประจำปี ‘แอปพลิเคชันที่เป็นอันตราย’ ว่า ยังได้ทำการป้องกันแอปเกือบ 1.5 ล้านแอปที่เชื่อมโยงกับการละเมิดนโยบายด้านต่าง ๆ ไม่ให้สามารถเข้าสู่ Google Play Store ได้ (more…)

มัลแวร์แอปพลิเคชัน ที่สามารถทำตัวเป็นโทรจันบน Android กำลังถูกซื้อขายกันในเว็บไซต์ใต้ดินในราคาสูงถึง 20,000 ดอลลาร์ เพื่อใช้ในการหลบเลี่ยงการป้องกันของ Google Play Store

Kaspersky ระบุในรายงานฉบับใหม่ว่า ประเภทของแอปพลิเคชันที่ได้รับความนิยมสูงสุดในการซ่อนมัลแวร์ และซอฟต์แวร์ที่เป็นอันตราย ได้แก่ แอปพลิเคชันประเภท cryptocurrency, แอปพลิเคชันทางการเงิน, แอปพลิเคชันที่ใช้สแกน QR code และแอปพลิเคชันหาคู่ (Dating) (more…)

Cybersecurity and Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์สหรัฐ สั่งให้หน่วยงานของรัฐบาลกลาง ทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีเพื่อติดตั้งสปายแวร์บนอุปกรณ์มือถือ

โดยช่องโหว่ที่ CISA แนะนำให้รีบทำการอัปเดต ถูกพบว่าเป็นส่วนหนึ่งของแคมเปญการโจมตีที่มุ่งเป้าหมายไปที่ผู้ใช้งาน Android และ iOS ที่ถูกค้นพบโดยทีมนักวิจัย Threat Analysis Group (TAG) ของ Google

ซึ่งพบการโจมตีครั้งแรกในเดือนพฤศจิกายน 2022 ต่อมาได้พบการมุ่งเป้าการโจมตีไปยังผู้ใช้งาน Android ของ Samsung ที่ใช้ Samsung Internet Browser รวมไปถึงแคมเปญการโจมตีไปยัง Android เพื่อถอดรหัส และขโมยข้อมูลจากแอปแชท และเบราว์เซอร์

โดยทาง CISA ได้เพิ่มช่องโหว่ห้าในสิบรายการที่ถูกใช้ในแคมเปญการโจมตีด้วยสปายแวร์สองรายการในแคตตาล็อก Known Exploited Vulnerabilities (KEV):

CVE-2021-30900 ช่องโหว่ใน Apple iOS, iPadOS และ macOS
CVE-2022-38181 ช่องโหว่ใน Arm Mali GPU Kernel Driver Use-After-Free
CVE-2023-0266 ช่องโหว่ใน Linux Kernel Use-After-Free
CVE-2022-3038 ช่องโหว่ใน Google Chrome Use-After-Free
CVE-2022-22706 ช่องโหว่ในArm Mali GPU Kernel Driver

ทั้งนี้ CISA ได้ให้เวลาหน่วยงานกลาง Federal Civilian Executive Branch Agencies (FCEB) เป็นเวลา 3 สัปดาห์ เพื่อทำการอัปเดตเพื่อแก้ไขช่องโหว่ 5 รายการที่ได้เพิ่มไปใน KEV ตามคำสั่งการปฏิบัติงานที่มีผลผูกพัน BOD 22-01 ที่ออกในเดือนพฤศจิกายน 2021 ซึ่งกำหนดไว้ว่าหน่วยงาน FCEB จะต้องรักษาความปลอดภัยเครือข่ายของตนจากช่องโหว่ทั้งหมดที่เพิ่มเข้าไปในรายการช่องโหว่ของ CISA ซึ่งเป็นช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี รวมไปถึงประกาศขอความร่วมมือให้หน่วยงาน องค์กร และบริษัทต่าง ๆ รีบทำการอัปเดตช่องโหว่เพื่อป้องกันการถูกโจมตีด้วยเช่นกัน

ที่มา : bleepingcomputer

แคมเปญมัลแวร์ฟิชชิงทางโทรศัพท์ (หรือเรียกอีกชื่อหนึ่งว่า vishing) บนระบบ Android ที่รู้จักกันด้วยชื่อ FakeCalls กลับมาอีกครั้งเพื่อมุ่งเป้าหมายการโจมตีเป็นผู้ใช้งานในประเทศเกาหลีใต้ผ่านแอปพลิเคชันทางการเงินยอดนิยมกว่า 20 แอป

บริษัทด้านความปลอดภัย Check Point ระบุว่า "มัลแวร์ FakeCalls มีความสามารถที่คล้ายกับ Swiss army knife ซึ่งไม่ใช่แค่เพียงสามารถดำเนินการตามเป้าหมายหลักเท่านั้น แต่ยังสามารถดึงข้อมูลส่วนตัวจากอุปกรณ์ของเหยื่อได้อีกด้วย"

FakeCalls ถูกรายงานไว้โดยบริษัท Kaspersky เมื่อเดือนเมษายน 2022 ซึ่งอธิบายความสามารถของมัลแวร์ว่า สามารถเลียนแบบการสนทนาทางโทรศัพท์กับเจ้าหน้าที่ฝ่ายบริการลูกค้าของธนาคารได้

ในการโจมตี ผู้ใช้งานที่มีการติดตั้งแอปธนาคารปลอม จะถูกหลอกให้โทรไปยังสถาบันการเงินโดยมีข้อเสนอเกี่ยวกับเงินกู้ดอกเบี้ยต่ำ

ในช่วงระหว่างที่มีการโทร จะเป็นเสียงที่ถูกบันทึกไว้ล่วงหน้าที่มีคำแนะนำจากธนาคารจริง ๆ ซึ่งในเวลาเดียวกันมัลแวร์จะซ่อนหมายเลขโทรศัพท์ปลอม และแสดงหมายเลขจริงของธนาคาร เพื่อหลอกเหยื่อว่ามีการสนทนาเกิดขึ้นกับพนักงานธนาคารจริง

เป้าหมายสุดท้ายของการโจมตี คือการหลอกเอาข้อมูลบัตรเครดิตของเหยื่อ ซึ่งเหยื่อจะถูกหลอกว่าต้องใช้บัตรเครดิต เพื่อมีสิทธิ์ได้รับเงินกู้(ที่ไม่มีอยู่จริง)

แอปพลิเคชันที่เป็นอันตรายยังขอสิทธิ์ในการเข้าถึงข้อมูลที่สำคัญ, รวมถึงการสตรีมเสียง และวิดีโอสด จากอุปกรณ์ที่ถูกโจมตี และข้อมูลจะถูกส่งกลับไปที่ C2 Server

ตัวอย่างล่าสุดของ FakeCalls ยังพบการใช้เทคนิคต่าง ๆ เพื่อหลบเลี่ยงการตรวจจับ เช่น การเพิ่มจำนวนไฟล์ภายในไดเรกทอรีในโฟลเดอร์ของแอป, การทำให้ความยาวของชื่อไฟล์ และพาธเกินขีดจำกัด 300 ตัวอักษร

Check Point ระบุว่า "นักพัฒนามัลแวร์ได้ให้ความสำคัญด้านเทคนิคของการสร้างมัลแวร์ และนำเทคนิคป้องกันการวิเคราะห์ที่มีประสิทธิภาพมาใช้งานด้วย นอกจากนี้ยังออกแบบกลไกสำหรับแก้ไขการเชื่อมต่อกับเซิร์ฟเวอร์ที่อยู่เบื้องหลังการดำเนินการ"

ถึงแม้การโจมตีจะมุ่งเป้าไปที่ประเทศเกาหลีใต้เพียงประเทศเดียว แต่บริษัทรักษาความปลอดภัยได้เตือนว่า กลยุทธ์นี้สามารถถูกนำไปใช้กับภูมิภาคอื่น ๆ ทั่วโลกได้

การค้นพบนี้มาพร้อมกับการเปิดเผยของ Cyble เกี่ยวกับ Android banking trojan 2 ตัว ที่ชื่อ Nexus และ GoatRAT ซึ่งสามารถเก็บรวบรวมข้อมูลที่สำคัญ และดำเนินการฉ้อโกงทางการเงินได้

Nexus เป็นเวอร์ชันรีแบรนด์ของ SOVA ซึ่งมีโมดูล ramsomware ที่เข้ารหัสไฟล์ที่ถูกเก็บไว้ และสามารถใช้บริการ accessibility ของระบบ Android เพื่อถอน seed phrases จากกระเป๋าเงินดิจิทัลได้

GoatRAT เป็นมัลแวร์ที่ออกแบบมาเพื่อมุ่งเป้าหมายไปยังธนาคารของประเทศบราซิล และมีลักษณะการทำงานที่คล้ายกับ BrasDex และ PixPirate ซึ่งจะทำการโอนเงินผ่านแพลตฟอร์มการชำระเงิน PIX โดยจะแสดงหน้าต่างปลอมเพื่อซ่อนธุรกรรมการโอนเงิน

การพัฒนานี้เป็นส่วนหนึ่งของแนวโน้มที่เพิ่มขึ้น ซึ่งผู้ไม่หวังดีได้เผยแพร่มัลแวร์ทางด้านการเงินที่มีความซับซ้อนมากขึ้น เพื่อทำให้กระบวนการทั้งหมดของการโอนเงินโดยไม่ได้รับอนุญาตบนอุปกรณ์ที่โดนโจมตีสามารถทำได้โดยอัตโนมัติ

Kaspersky ระบุว่า พบมัลแวร์ mobile banking trojans ใหม่ถึง 196,476 รายการ และมัลแวร์ mobile ransomware trojans ใหม่ถึง 10,543 รายการในปี 2022 โดยจีน, ซีเรีย, อิหร่าน, เยเมน, และอิรัก เป็นประเทศที่ถูกโจมตีด้วยมัลแวร์บนโทรศัพท์มือถือ รวมถึง adware มากที่สุด

ส่วนประเทศสเปน, ซาอุดีอาระเบีย, ออสเตรเลีย, ตุรกี, จีน, สวิตเซอร์แลนด์, ญี่ปุ่น, โคลอมเบีย, อิตาลี, และอินเดีย เป็นประเทศที่ถูกโจมตีด้วยมัลแวร์ธุรกรรมการเงินบนโทรศัพท์มือถือมากที่สุด

Tatyana Shishkova นักวิจัยของ Kaspersky ระบุว่า "ถึงแม้โดยรวมจะมีการลดลงของ malware installers แต่การเพิ่มขึ้นของ mobile banking Trojans ยืนยันให้เห็นว่าผู้ไม่หวังดีกำลังกำลังมุ่งเน้นไปที่ผลประโยชน์ทางด้านการเงินเป็นหลัก"

 

ที่มา : thehackernews

พบมัลแวร์ตัวใหม่บน Android ที่มีชื่อว่า 'Hook' สามารถ remote เพื่อควบคุมอุปกรณ์มือถือจากระยะไกลได้แบบเรียลไทม์โดยการใช้ VNC (virtual network computing)

โดยตัวมัลแวร์ถูกสร้างโดยผู้สร้าง Ermac ซึ่งเป็นโทรจันสำหรับขโมยข้อมูลธนาคารบน Android ที่จะช่วยให้ผู้โจมตีสามารถขโมยข้อมูล credentials จากแอปธนาคาร และ crypto แอปพลิเคชันกว่า 467 รายการผ่านหน้า login ปลอม

คุณสมบัติของ Hook เมื่อเทียบกับ Ermac คือการเปิด WebSocket ที่นอกเหนือจากการรับส่งข้อมูล HTTP ที่ Ermac ใช้ โดยเฉพาะการรับส่งข้อมูลเครือข่ายยังคงถูก encrypt โดยการใช้คีย์ AES-256-CBC

จุดเด่นเพิ่มเติมคือ module 'VNC' ที่ช่วยให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ถูกบุกรุกได้แบบ real-time

Hook ติดอันดับต้นๆ ของกลุ่มมัลแวร์ที่สามารถดำเนินการโจมตีแบบ Device Take-Over (DTO) ได้เต็มรูปแบบ เนื่องจากระบบใหม่นี้ช่วยให้ผู้โจมตีที่ใช้งาน Hook สามารถดำเนินการใดๆก็ได้บนอุปกรณ์ ตั้งแต่ขโมยข้อมูลส่วนตัว ไปจนถึงข้อมูลการทำธุรกรรมทางการเงิน ซึ่งการดำเนินการลักษณะนี้ตรวจจับได้ยากกว่า ทำให้ถือเป็นจุดขายหลักสำหรับมัลแวร์ประเภทนี้

แต่มีประเด็นสำคัญอีกอย่างหนึ่งคือ VNC ของ Hook ต้องการการเข้าถึงบริการ Accessibility Service ซึ่งอาจทำได้ยากขึ้นบนอุปกรณ์ที่ใช้ Android 11 หรือใหม่กว่า

คำสั่งใหม่ของ Hook (นอกเหนือจาก Ermac)

Start/stop RAT
ถ่ายภาพหน้าจอ
จำลองการคลิกที่รายการข้อความที่กำหนด
Simulate การกดปุ่ม (HOME/BACK/RECENTS/LOCK/POWERDIALOG)
Unlock อุปกรณ์
Scroll up/down
Simulate การกดแบบค้าง
Simulate การคลิกที่กำหนดเฉพาะ
ตั้งค่า clipboard UI ด้วยค่าเฉพาะเจาะจง
Simulate การคลิก UI ด้วยข้อความเฉพาะ
ตั้งค่าองค์ประกอบ UI เป็นข้อความเฉพาะ

นอกเหนือจากข้างต้น คำสั่ง "File Manager" จะเปลี่ยนมัลแวร์ให้เป็นตัวจัดการไฟล์ ทำให้ผู้โจมตีสามารถเข้าถึงรายการไฟล์ทั้งหมดที่จัดเก็บไว้ในอุปกรณ์ และดาวน์โหลดไฟล์ที่ต้องการได้

คำสั่งสำคัญอีกคำสั่งที่ ThreatFabric พบเกี่ยวข้องกับ WhatsApp ที่ทำให้ Hook สามารถบันทึกข้อความทั้งหมดในแอพ IM (Instant Messaging) ที่ได้รับความนิยมและยังช่วยให้ผู้โจมตีสามารถส่งข้อความผ่านบัญชีของเหยื่อได้ ในส่วนระบบการติดตามตำแหน่งใหม่ก็ช่วยให้ Hook สามารถติดตามตำแหน่งที่แม่นยำของเหยื่อได้โดยใช้สิทธิ์ "Access Fine Location"

การกำหนดเป้าหมายทั่วโลก

เป้าหมายของ Hook คือแอปพลิเคชันธนาคารต่างๆ ซึ่งคาดว่าจะส่งผลกระทบต่อผู้ใช้ในสหรัฐอเมริกา สเปน ออสเตรเลีย โปแลนด์ แคนาดา ตุรกี สหราชอาณาจักร ฝรั่งเศส อิตาลี และโปรตุเกส

ปัจจุบัน Hook มีการแพร่กระจายผ่านทาง Google Chrome APK ภายใต้ชื่อแพ็คเกจดังนี้

"com.

ThreatFabric หน่วยงานด้านความปลอดภัยทางไซเบอร์ ได้เผยแพร่ข้อมูลการพบ SpyNote (หรือที่รู้จักกันในชื่อ SpyMax) ซึ่งเป็น Android malware ที่ได้รับการปรับปรุงเอาลักษณะเฉพาะของสปายแวร์ และโทรจันสำหรับขโมยข้อมูลธนาคารรวมเข้าด้วยกัน ซึ่งเริ่มถูกพบครั้งแรกเมื่อเดือนตุลาคม 2022

การโจมตี

โดย SpyNote มีความสามารถมากมาย ได้แก่ การอนุญาตให้ติดตั้งแอปพลิเคชันโดยพลการ, การรวบรวมข้อมูล, ข้อความ SMS, การโทร, วิดีโอ และการบันทึกเสียง, การติดตามตำแหน่ง GPS, การขัดขวางการถอนการติดตั้งแอปพลิเคชัน

นอกจากนี้ SpyNote ยังมีฟังก์ชันการขอสิทธิ์การเข้าถึงบริการ เพื่อให้สามารถเข้าถึงรหัสการรับรองความถูกต้องสองขั้นตอน (2FA) จาก Google Authenticator และบันทึกการกดแป้นพิมพ์เพื่อขโมยข้อมูลที่เกี่ยวข้องกับแอปพลิเคชันของธนาคาร การขโมยรหัสผ่าน Facebook และ Gmail ตลอดจนจับภาพหน้าจอโดยใช้ MediaProjection API ของ Android

ThreatFabric ได้ระบุว่า ขณะนี้ SpyNote (เรียกว่า SpyNote.

นักวิจัยด้านความปลอดภัย Nipun Gupta และ Aazim Bill SE Yaswant พบ Trojan App ที่ชื่อว่า Schoolyard Bully Trojan บน Google Play Store โดยมียอดผู้ดาวน์โหลดแอปดังกล่าวไปแล้วกว่า 3 แสน รายใน 71 ประเทศ ซึ่งปัจจุบันได้ถูกถอดจาก Google Play Store ไปแล้ว แต่ก็ยังมีเผยแพร่อยู่บน 3rd party อื่น ๆ เช่น Telegram หรือ Whatsapp เป็นต้น

ลักษณะการทำงาน

Trojan ได้ถูกออกแบบมาเพื่อขโมย Facebook credentials เป็นหลัก โดยจะปลอมเป็นแอปพลิเคชั่นสำหรับการศึกษาที่ดูใช้งานได้ตามปกติ หรือแอปสำหรับอ่านนิยายออนไลน์เพื่อหลอกล่อให้เหยื่อดาวน์โหลดมาโดยไม่เกิดความสงสัย

ซึ่งหลังจากที่เหยื่อมีการโหลดมาแอปมาติดตั้งไว้บนเครื่องแล้วจะมีการหลอกล่อเหยื่อให้เปิดหน้าใช้งานเข้าสู่ระบบของ Facebook ใน WebView ซึ่งภายในหน้าเว็บนั้นจะมีการฝัง JavaScript ที่มีความสามารถในการขโมยข้อมูลจำพวก เบอร์โทรศัพท์ อีเมล และรหัสผ่านของผู้ใช้ ส่งไปยัง Command-and-control (C2) ที่ถูกกำหนดไว้ของผู้โจมตี

นอกจากนี้ Schoolyard Bully Trojan ยังมีความสามารถในการใช้ประโยชน์จาก native libraries เช่น libabc.

แอปพลิเคชัน Android SMS ที่มีอยู่บน Google Play Store ถูกพบว่ามีการใช้ประโยชน์จากการเข้าถึงข้อความ SMS เพื่อนำไปสร้างบัญชีบนแพลตฟอร์มต่างๆ เช่น Facebook, Google และ WhatsApp

แอปพลิเคชันนี้มีชื่อว่า Symoo (com.

นักวิจัยพบแอปพลิเคชันที่เป็นอันตราย 4 รายการ ที่อยู่บน Google Play ซึ่งเป็น official store ของ Android ซึ่งจะนำผู้ใช้งานเข้าไปสู่เว็ปไซต์ที่ใช้สำหรับขโมยข้อมูลที่สำคัญ หรือสร้างรายได้ให้กับแฮ็กเกอร์ในแบบที่เรียกว่า pay-per-click และบางเว็ปไซต์ยังหลอกให้เหยื่อดาวน์โหลดแอปพลิเคชันที่ปลอมแปลงเป็น security tools หรือแอปพลิเคชันอัปเดต เพื่อหลอกให้ผู้ใช้งานติดตั้งไฟล์ที่เป็นอันตรายด้วยตนเอง

โดยแอปพลิเคชันเหล่านี้อยู่ภายใต้บัญชีนักพัฒนาที่ชื่อว่า Mobile Apps Group บน Google Play และมียอดติดตั้งไปแล้วรวมกว่า 1 ล้านครั้ง

โดยรายงานจาก Malwarebytes พบว่า นักพัฒนารายเดียวกันนี้เคยมีการเผยแพร่แอปพลิเคชันที่มีลักษณะ adware บน Google Play มาก่อน แต่ก็ยังคงได้รับอนุญาตให้เผยแพร่แอปพลิเคชันต่อไปหลังจากทำการแก้ไขพฤติกรรมผิดปกติดังกล่าวไปแล้วในเวอร์ชันถัดมา

แอปที่เป็นอันตรายสี่รายการที่ถูกเปิดเผยในครั้งนี้ ได้แก่ :

Bluetooth Auto Connect มียอดติดตั้งไปแล้วมากกว่า 1,000,000 ครั้ง
Bluetooth App Sender มียอดติดตั้งไปแล้วมากกว่า 50,000 ครั้ง
Driver: Bluetooth,Wi-Fi, USB มียอดติดตั้งไปแล้วมากกว่า 10,000 ครั้ง
Mobile transfer : smart switch มียอดติดตั้งไปแล้วมากกว่า 10,000 ครั้ง

แอปพลิเคชันเหล่านี้ส่วนใหญ่จะได้รับความคิดเห็นในแง่ลบจากผู้ใช้งานบน Google Play โดยผู้ใช้งานจำนวนมากระบุเกี่ยวกับโฆษณาที่ถูกเปิดโดยอัตโนมัติในเบราว์เซอร์ ที่น่าสนใจคือนักพัฒนาได้ตอบกลับความคิดเห็นเหล่านี้บางส่วน และยังเสนอจะช่วยแก้ไขปัญหาในเรื่องการโฆษณาอีกด้วย

BleepingComputer ได้ทำการติดต่อไปยัง Mobile App Group เพื่อขอความคิดเห็นเกี่ยวกับการค้นพบของนักวิจัยจาก Malwarebytes แต่ยังไม่ได้รับการตอบกลับ

Malwarebytes พบว่าแอปพลิเคชันเหล่านี้จะมี delay 72 ชั่วโมงก่อนที่จะเริ่มแสดงโฆษณาครั้งแรก หรือเปิดลิงก์ฟิชชิ่งในเว็บเบราเซอร์ จากนั้นจึงจะมีการเปิดแท็บโฆษณาในลักษณะดังกล่าวขึ้นมาในทุกๆ 2 ชั่วโมง นักวิจัยตั้งข้อสังเกตว่าแท็บเบราว์เซอร์ใหม่จะยังคงถูกเปิดขึ้นมาแม้ในขณะที่อุปกรณ์ถูกล็อก ดังนั้นเมื่อผู้ใช้กลับมาใช้งานโทรศัพท์หลังจากผ่านไประยะหนึ่ง ก็จะพบว่ามีเว็ปไซต์ฟิชชิง และโฆษณาหลายแห่งถูกเปิดทิ้งไว้อยู่

จากการวิเคราะห์ไฟล์ Manifest แสดงให้เห็นว่านักพัฒนาพยายามสร้างความสับสนบน log ของการดำเนินการของแอปพลิเคชัน โดยใช้ log descriptor ที่ไม่มีความหมายเช่น "sdfsdf" ซึ่งแม้ว่าวิธีนี้จะใช้ได้ผลกับเครื่องมือที่ใช้ตรวจสอบโค้ดแบบอัตโนมัติ แต่ก็ช่วยให้นักวิจัยสามารถระบุการดำเนินการได้ง่ายขึ้น

หากผู้ใช้งานต้องการป้องกันแอดแวร์จากอุปกรณ์ ให้หลีกเลี่ยงการติดตั้งแอปพลิเคชันจากภายนอก อ่านรีวิวจากผู้ใช้งานอื่นๆ ตรวจสอบการใช้งานแบตเตอรี่ และข้อมูลการเชื่อมต่อผ่านเครือข่ายซึ่งจะช่วยระบุว่าอุปกรณ์กำลังมีการใช้งานซอฟต์แวร์ที่น่าสงสัยอยู่หรือไม่

หากมีแอปใดแอปหนึ่งข้างต้นติดตั้งอยู่ แนะนำให้ทำการลบออก และตรวจสอบอุปกรณ์โดยการใช้ mobile antivirus จากผู้ให้บริการที่มีความน่าเชื่อถือ

BleepingComputer ได้ทำการติดต่อไปยัง Google เพื่อแจ้งเกี่ยวกับประวัตินักพัฒนา และแอปพลิเคชันปัจจุบันของพวกเขา และจะอัปเดตข้อมูลทันทีเมื่อได้รับการตอบกลับจาก google

ที่มา : bleepingcomputer.

สปายแวร์บน Android ตัวใหม่ที่ชื่อว่า 'RatMilad' ถูกพบว่ากำลังมุ่งเป้าไปที่อุปกรณ์มือถือของผู้ใช้งานในตะวันออกกลาง เพื่อขโมยข้อมูลบนเครื่องของเหยื่อ

โดย RatMilad ถูกพบโดยบริษัท Zimperium ซึ่งเตือนว่ามัลแวร์ดังกล่าวอาจถูกนำมาใช้สำหรับการจารกรรมทางไซเบอร์ การขู่กรรโชก หรือเพื่อดักฟังการสนทนาของเหยื่อ

"คล้ายกันกับสปายแวร์บนมือถืออื่น ๆ ที่เคยถูกพบ ข้อมูลที่ถูกขโมยมาจากอุปกรณ์ของเหยื่อ สามารถใช้เพื่อเข้าถึงระบบภายในขององค์กร แบล็กเมล์เหยื่อ และอื่น ๆ"

ลักษณะการทำงาน

สปายแวร์จะถูกแพร่กระจายผ่านทางแอปพลิเคชันปลอมที่อ้างว่าสามารถ generate หมายเลขที่สามารถนำไปใช้สำหรับเปิดใช้งานบัญชีโซเชียลมีเดีย โดยใช้ชื่อว่า "NumRent" เมื่อติดตั้งแอปดังกล่าวแล้ว มันจะทำการดาวน์โหลด payload ของ RatMilad มัลแวร์

โดยแอปพลิเคชันจะถูกเผยแพร่ผ่านทาง Telegram เนื่องจาก NumRent หรือโทรจันอื่น ๆ ที่มี RatMilad ไม่สามารถดาวน์โหลดได้จาก Google Play Store

โดย NumRent ยังมีเว็ปไซต์ที่ถูกสร้างขึ้นเพื่อสร้างความน่าเชื่อถือให้กับแอปพลิเคชัน โดยผู้โจมตีจะโปรโมทเว็ปไซต์ผ่านทาง Telegram, social media และ communication แพลตฟอร์มต่าง ๆ

หลังจากติดตั้งบนอุปกรณ์ของเหยื่อได้สำเร็จแล้ว RatMilad จะพยายามขโมยข้อมูลต่อไปนี้ :

ข้อมูลอุปกรณ์พื้นฐาน (รุ่น, ยี่ห้อ, buildID, เวอร์ชัน Android)
ที่อยู่ MAC address ของอุปกรณ์
รายชื่อผู้ติดต่อ
ข้อความ
บันทึกการโทร
ชื่อบัญชีผู้ใช้ และสิทธิ์การเข้าถึงต่าง ๆ
รายการแอปพลิเคชัน และการอนุญาตที่ติดตั้ง
ข้อมูลคลิปบอร์ด
ข้อมูลตำแหน่ง GPS
ข้อมูลซิม (หมายเลข, ประเทศ, IMEI, รัฐ)
รายการไฟล์
เนื้อหาไฟล

นอกจากนี้ RatMilad ยังสามารถดำเนินการกับไฟล์ เช่น การลบไฟล์ และขโมยไฟล์ ปรับเปลี่ยนการอนุญาตของแอปที่ติดตั้ง หรือแม้แต่ใช้ไมโครโฟนของอุปกรณ์เพื่อบันทึกเสียง และดักฟังเสียงในห้อง

แนวทางการป้องกัน

เพื่อป้องกันการติดสปายแวร์ในลักษณะนี้ ให้หลีกเลี่ยงการดาวน์โหลดแอปจากภายนอก Google Play Store ตรวจสอบสิทธิ์ที่แอปพลิเคชันร้องขออย่างละเอียดระหว่างการติดตั้ง

 

ที่มา : bleepingcomputer