พบมัลแวร์บน Android ตัวใหม่ในชื่อ DogeRAT ที่มุ่งเป้าหมายไปที่องค์กรในหลายภาคอุตสาหกรรม รวมถึงสถาบันการเงิน, เกม และธุรกิจความบันเทิง นอกจากความสามารถในการเข้าถึงจากระยะไกลแล้ว มัลแวร์ยังสามารถทำหน้าที่เป็นคีย์ล็อกเกอร์ และสามารถคัดลอกเนื้อหาจากคลิปบอร์ดได้

ข้อมูลเกี่ยวกับแคมเปญการโจมตี

นักวิจัยจาก CloudSEK เปิดเผยว่าพบการแพร่ระบาดของแคมเปญ DogeRAT ที่มุ่งเป้าไปที่ผู้ใช้งาน Android ในประเทศอินเดีย และคาดว่ามัลแวร์อาจขยายการโจมตีออกไปทั่วโลกได้

ผู้โจมตีได้สร้างแอปพลิเคชันปลอมหลายพันรายการ โดยปลอมเป็นแอปพลิเคชัน และบริการยอดนิยม เช่น Netflix Premium, YouTube Premium, Instagram Pro, Opera Mini browser และ ChatGPT
แอปพลิเคชันที่เป็นอันตรายเหล่านี้ได้กระจายไปทั่วแพลตฟอร์มโซเชียลเน็ตเวิร์คต่าง ๆ
เมื่อติดตั้งแอปพลิเคชันปลอมเหล่านี้ แอปพลิเคชันจะขอสิทธิ์ที่ใช้ในการเข้าถึงข้อมูลที่สำคัญโดยไม่ได้รับอนุญาต รวมถึงข้อมูลสำคัญอื่น ๆ เช่น ข้อมูลการเข้าสู่ระบบธนาคาร, รายชื่อผู้ติดต่อ และข้อความ
นอกจากนี้ ยังช่วยให้ผู้โจมตีสามารถดำเนินการเพิ่มเติมต่าง ๆ ได้ เช่น ดำเนินการทำธุรกรรมธนาคารโดยไม่ได้รับอนุญาต, ส่งอีเมลสแปม และถ่ายรูปโดยใช้กล้องของอุปกรณ์

Boeing ถูกโปรโมตให้เป็น MaaS (Malware as a Service)

นักพัฒนาของ DogeRAT ถูกสงสัยว่ามาจากประเทศอินเดีย เนื่องจากมีการใช้งาน DogeRAT ที่เป็น RAT (Remote Access Trojan) โดยใช้ภาษา Java ซึ่งให้เป็นบริการ MaaS (Malware as a Service) ผ่านสองช่องทางใน Telegram

เวอร์ชันโอเพ่นซอร์สของมัลแวร์ถูกจัดเก็บไว้บนโฮสต์ GitHub ซึ่งมาพร้อมกับรายการความสามารถทั้งหมด และวิดีโอสอนการใช้งานคุณสมบัติต่าง ๆ
ผู้พัฒนากำลังโปรโมต DogeRAT เวอร์ชันพรีเมียมเพิ่มเติม ซึ่งเวอร์ชันนี้มีความต่อเนื่องมากขึ้น มีการเชื่อมต่อที่เสถียรมากกับเซิร์ฟเวอร์ C2 และมาพร้อมกับความสามารถเพิ่มเติม เช่น คีย์ล็อกเกอร์, การขโมยภาพจากแกลเลอรี่ และสามารถขโมยข้อมูลจากคลิปบอร์ดได้

ความสามารถที่หลากหลายของ DogeRAT เป็นตัวอย่างการพัฒนาการอย่างรวดเร็วของธุรกิจ MaaS ที่นักพัฒนามัลแวร์กำลังเน้นไปที่มัลแวร์ที่มีคุณสมบัติที่หลากหลาย

แนะนำให้องค์กรควรเตรียมกลยุทธ์ทางไซเบอร์ที่ครอบคลุม และปฏิบัติตามมาตรฐานการรักษาความปลอดภัยทางไซเบอร์

อ้างอิง : https://cyware.

Google ได้ลบแอปพลิเคชันบันทึกหน้าจอที่ชื่อว่า "iRecorder - Screen Recorder" ออกจาก Play Store หลังพบว่าแอปดังกล่าวมีการขโมยข้อมูลผู้ใช้งานมาเป็นเวลาเกือบ 1 ปี ซึ่งแอป iRecorder (ชื่อแพ็กเกจ APK "com.

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) หรือหน่วยงานรักษาความปลอดภัยทางไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐ ออกมาแจ้งเตือนถึงช่องโหว่ bypass การป้องกันใน Android address space layout randomization (ASLR) ที่ส่งผลกระทบต่ออุปกรณ์ของ Samsung

ASLR เป็นคุณลักษณะด้านความปลอดภัยของ Android ที่จะสุ่ม memory addresses ใน key app และ OS components ซึ่งถูกโหลดลงในหน่วยความจำของอุปกรณ์ โดยคุณลักษณะดังกล่าวทำให้ผู้โจมตีใช้ประโยชน์จากช่องโหว่ที่เกี่ยวข้องกับหน่วยความจำได้ยากขึ้น เช่น การโจมตีแบบ buffer overflow, return-oriented programming และการโจมตีแบบ memory-based อื่น ๆ (more…)

Google ระบุว่าในปี 2565 ได้แบนบัญชีนักพัฒนาซอฟต์แวร์กว่า 173,000 บัญชี เพื่อบล็อกการทำงานของมัลแวร์จากอุปกรณ์ของผู้ใช้ Android ด้วยแอปพลิเคชันที่เป็นอันตราย โดย Google เปิดเผยในรายงานประจำปี ‘แอปพลิเคชันที่เป็นอันตราย’ ว่า ยังได้ทำการป้องกันแอปเกือบ 1.5 ล้านแอปที่เชื่อมโยงกับการละเมิดนโยบายด้านต่าง ๆ ไม่ให้สามารถเข้าสู่ Google Play Store ได้ (more…)

มัลแวร์แอปพลิเคชัน ที่สามารถทำตัวเป็นโทรจันบน Android กำลังถูกซื้อขายกันในเว็บไซต์ใต้ดินในราคาสูงถึง 20,000 ดอลลาร์ เพื่อใช้ในการหลบเลี่ยงการป้องกันของ Google Play Store

Kaspersky ระบุในรายงานฉบับใหม่ว่า ประเภทของแอปพลิเคชันที่ได้รับความนิยมสูงสุดในการซ่อนมัลแวร์ และซอฟต์แวร์ที่เป็นอันตราย ได้แก่ แอปพลิเคชันประเภท cryptocurrency, แอปพลิเคชันทางการเงิน, แอปพลิเคชันที่ใช้สแกน QR code และแอปพลิเคชันหาคู่ (Dating) (more…)

Cybersecurity and Infrastructure Security Agency (CISA) หน่วยงานด้านความมั่นคงทางไซเบอร์สหรัฐ สั่งให้หน่วยงานของรัฐบาลกลาง ทำการอัปเดตแพตซ์เพื่อแก้ไขช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตีเพื่อติดตั้งสปายแวร์บนอุปกรณ์มือถือ

โดยช่องโหว่ที่ CISA แนะนำให้รีบทำการอัปเดต ถูกพบว่าเป็นส่วนหนึ่งของแคมเปญการโจมตีที่มุ่งเป้าหมายไปที่ผู้ใช้งาน Android และ iOS ที่ถูกค้นพบโดยทีมนักวิจัย Threat Analysis Group (TAG) ของ Google

ซึ่งพบการโจมตีครั้งแรกในเดือนพฤศจิกายน 2022 ต่อมาได้พบการมุ่งเป้าการโจมตีไปยังผู้ใช้งาน Android ของ Samsung ที่ใช้ Samsung Internet Browser รวมไปถึงแคมเปญการโจมตีไปยัง Android เพื่อถอดรหัส และขโมยข้อมูลจากแอปแชท และเบราว์เซอร์

โดยทาง CISA ได้เพิ่มช่องโหว่ห้าในสิบรายการที่ถูกใช้ในแคมเปญการโจมตีด้วยสปายแวร์สองรายการในแคตตาล็อก Known Exploited Vulnerabilities (KEV):

CVE-2021-30900 ช่องโหว่ใน Apple iOS, iPadOS และ macOS
CVE-2022-38181 ช่องโหว่ใน Arm Mali GPU Kernel Driver Use-After-Free
CVE-2023-0266 ช่องโหว่ใน Linux Kernel Use-After-Free
CVE-2022-3038 ช่องโหว่ใน Google Chrome Use-After-Free
CVE-2022-22706 ช่องโหว่ในArm Mali GPU Kernel Driver

ทั้งนี้ CISA ได้ให้เวลาหน่วยงานกลาง Federal Civilian Executive Branch Agencies (FCEB) เป็นเวลา 3 สัปดาห์ เพื่อทำการอัปเดตเพื่อแก้ไขช่องโหว่ 5 รายการที่ได้เพิ่มไปใน KEV ตามคำสั่งการปฏิบัติงานที่มีผลผูกพัน BOD 22-01 ที่ออกในเดือนพฤศจิกายน 2021 ซึ่งกำหนดไว้ว่าหน่วยงาน FCEB จะต้องรักษาความปลอดภัยเครือข่ายของตนจากช่องโหว่ทั้งหมดที่เพิ่มเข้าไปในรายการช่องโหว่ของ CISA ซึ่งเป็นช่องโหว่ที่กำลังถูกนำมาใช้ในการโจมตี รวมไปถึงประกาศขอความร่วมมือให้หน่วยงาน องค์กร และบริษัทต่าง ๆ รีบทำการอัปเดตช่องโหว่เพื่อป้องกันการถูกโจมตีด้วยเช่นกัน

ที่มา : bleepingcomputer

แคมเปญมัลแวร์ฟิชชิงทางโทรศัพท์ (หรือเรียกอีกชื่อหนึ่งว่า vishing) บนระบบ Android ที่รู้จักกันด้วยชื่อ FakeCalls กลับมาอีกครั้งเพื่อมุ่งเป้าหมายการโจมตีเป็นผู้ใช้งานในประเทศเกาหลีใต้ผ่านแอปพลิเคชันทางการเงินยอดนิยมกว่า 20 แอป

บริษัทด้านความปลอดภัย Check Point ระบุว่า "มัลแวร์ FakeCalls มีความสามารถที่คล้ายกับ Swiss army knife ซึ่งไม่ใช่แค่เพียงสามารถดำเนินการตามเป้าหมายหลักเท่านั้น แต่ยังสามารถดึงข้อมูลส่วนตัวจากอุปกรณ์ของเหยื่อได้อีกด้วย"

FakeCalls ถูกรายงานไว้โดยบริษัท Kaspersky เมื่อเดือนเมษายน 2022 ซึ่งอธิบายความสามารถของมัลแวร์ว่า สามารถเลียนแบบการสนทนาทางโทรศัพท์กับเจ้าหน้าที่ฝ่ายบริการลูกค้าของธนาคารได้

ในการโจมตี ผู้ใช้งานที่มีการติดตั้งแอปธนาคารปลอม จะถูกหลอกให้โทรไปยังสถาบันการเงินโดยมีข้อเสนอเกี่ยวกับเงินกู้ดอกเบี้ยต่ำ

ในช่วงระหว่างที่มีการโทร จะเป็นเสียงที่ถูกบันทึกไว้ล่วงหน้าที่มีคำแนะนำจากธนาคารจริง ๆ ซึ่งในเวลาเดียวกันมัลแวร์จะซ่อนหมายเลขโทรศัพท์ปลอม และแสดงหมายเลขจริงของธนาคาร เพื่อหลอกเหยื่อว่ามีการสนทนาเกิดขึ้นกับพนักงานธนาคารจริง

เป้าหมายสุดท้ายของการโจมตี คือการหลอกเอาข้อมูลบัตรเครดิตของเหยื่อ ซึ่งเหยื่อจะถูกหลอกว่าต้องใช้บัตรเครดิต เพื่อมีสิทธิ์ได้รับเงินกู้(ที่ไม่มีอยู่จริง)

แอปพลิเคชันที่เป็นอันตรายยังขอสิทธิ์ในการเข้าถึงข้อมูลที่สำคัญ, รวมถึงการสตรีมเสียง และวิดีโอสด จากอุปกรณ์ที่ถูกโจมตี และข้อมูลจะถูกส่งกลับไปที่ C2 Server

ตัวอย่างล่าสุดของ FakeCalls ยังพบการใช้เทคนิคต่าง ๆ เพื่อหลบเลี่ยงการตรวจจับ เช่น การเพิ่มจำนวนไฟล์ภายในไดเรกทอรีในโฟลเดอร์ของแอป, การทำให้ความยาวของชื่อไฟล์ และพาธเกินขีดจำกัด 300 ตัวอักษร

Check Point ระบุว่า "นักพัฒนามัลแวร์ได้ให้ความสำคัญด้านเทคนิคของการสร้างมัลแวร์ และนำเทคนิคป้องกันการวิเคราะห์ที่มีประสิทธิภาพมาใช้งานด้วย นอกจากนี้ยังออกแบบกลไกสำหรับแก้ไขการเชื่อมต่อกับเซิร์ฟเวอร์ที่อยู่เบื้องหลังการดำเนินการ"

ถึงแม้การโจมตีจะมุ่งเป้าไปที่ประเทศเกาหลีใต้เพียงประเทศเดียว แต่บริษัทรักษาความปลอดภัยได้เตือนว่า กลยุทธ์นี้สามารถถูกนำไปใช้กับภูมิภาคอื่น ๆ ทั่วโลกได้

การค้นพบนี้มาพร้อมกับการเปิดเผยของ Cyble เกี่ยวกับ Android banking trojan 2 ตัว ที่ชื่อ Nexus และ GoatRAT ซึ่งสามารถเก็บรวบรวมข้อมูลที่สำคัญ และดำเนินการฉ้อโกงทางการเงินได้

Nexus เป็นเวอร์ชันรีแบรนด์ของ SOVA ซึ่งมีโมดูล ramsomware ที่เข้ารหัสไฟล์ที่ถูกเก็บไว้ และสามารถใช้บริการ accessibility ของระบบ Android เพื่อถอน seed phrases จากกระเป๋าเงินดิจิทัลได้

GoatRAT เป็นมัลแวร์ที่ออกแบบมาเพื่อมุ่งเป้าหมายไปยังธนาคารของประเทศบราซิล และมีลักษณะการทำงานที่คล้ายกับ BrasDex และ PixPirate ซึ่งจะทำการโอนเงินผ่านแพลตฟอร์มการชำระเงิน PIX โดยจะแสดงหน้าต่างปลอมเพื่อซ่อนธุรกรรมการโอนเงิน

การพัฒนานี้เป็นส่วนหนึ่งของแนวโน้มที่เพิ่มขึ้น ซึ่งผู้ไม่หวังดีได้เผยแพร่มัลแวร์ทางด้านการเงินที่มีความซับซ้อนมากขึ้น เพื่อทำให้กระบวนการทั้งหมดของการโอนเงินโดยไม่ได้รับอนุญาตบนอุปกรณ์ที่โดนโจมตีสามารถทำได้โดยอัตโนมัติ

Kaspersky ระบุว่า พบมัลแวร์ mobile banking trojans ใหม่ถึง 196,476 รายการ และมัลแวร์ mobile ransomware trojans ใหม่ถึง 10,543 รายการในปี 2022 โดยจีน, ซีเรีย, อิหร่าน, เยเมน, และอิรัก เป็นประเทศที่ถูกโจมตีด้วยมัลแวร์บนโทรศัพท์มือถือ รวมถึง adware มากที่สุด

ส่วนประเทศสเปน, ซาอุดีอาระเบีย, ออสเตรเลีย, ตุรกี, จีน, สวิตเซอร์แลนด์, ญี่ปุ่น, โคลอมเบีย, อิตาลี, และอินเดีย เป็นประเทศที่ถูกโจมตีด้วยมัลแวร์ธุรกรรมการเงินบนโทรศัพท์มือถือมากที่สุด

Tatyana Shishkova นักวิจัยของ Kaspersky ระบุว่า "ถึงแม้โดยรวมจะมีการลดลงของ malware installers แต่การเพิ่มขึ้นของ mobile banking Trojans ยืนยันให้เห็นว่าผู้ไม่หวังดีกำลังกำลังมุ่งเน้นไปที่ผลประโยชน์ทางด้านการเงินเป็นหลัก"

 

ที่มา : thehackernews

พบมัลแวร์ตัวใหม่บน Android ที่มีชื่อว่า 'Hook' สามารถ remote เพื่อควบคุมอุปกรณ์มือถือจากระยะไกลได้แบบเรียลไทม์โดยการใช้ VNC (virtual network computing)

โดยตัวมัลแวร์ถูกสร้างโดยผู้สร้าง Ermac ซึ่งเป็นโทรจันสำหรับขโมยข้อมูลธนาคารบน Android ที่จะช่วยให้ผู้โจมตีสามารถขโมยข้อมูล credentials จากแอปธนาคาร และ crypto แอปพลิเคชันกว่า 467 รายการผ่านหน้า login ปลอม

คุณสมบัติของ Hook เมื่อเทียบกับ Ermac คือการเปิด WebSocket ที่นอกเหนือจากการรับส่งข้อมูล HTTP ที่ Ermac ใช้ โดยเฉพาะการรับส่งข้อมูลเครือข่ายยังคงถูก encrypt โดยการใช้คีย์ AES-256-CBC

จุดเด่นเพิ่มเติมคือ module 'VNC' ที่ช่วยให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ถูกบุกรุกได้แบบ real-time

Hook ติดอันดับต้นๆ ของกลุ่มมัลแวร์ที่สามารถดำเนินการโจมตีแบบ Device Take-Over (DTO) ได้เต็มรูปแบบ เนื่องจากระบบใหม่นี้ช่วยให้ผู้โจมตีที่ใช้งาน Hook สามารถดำเนินการใดๆก็ได้บนอุปกรณ์ ตั้งแต่ขโมยข้อมูลส่วนตัว ไปจนถึงข้อมูลการทำธุรกรรมทางการเงิน ซึ่งการดำเนินการลักษณะนี้ตรวจจับได้ยากกว่า ทำให้ถือเป็นจุดขายหลักสำหรับมัลแวร์ประเภทนี้

แต่มีประเด็นสำคัญอีกอย่างหนึ่งคือ VNC ของ Hook ต้องการการเข้าถึงบริการ Accessibility Service ซึ่งอาจทำได้ยากขึ้นบนอุปกรณ์ที่ใช้ Android 11 หรือใหม่กว่า

คำสั่งใหม่ของ Hook (นอกเหนือจาก Ermac)

Start/stop RAT
ถ่ายภาพหน้าจอ
จำลองการคลิกที่รายการข้อความที่กำหนด
Simulate การกดปุ่ม (HOME/BACK/RECENTS/LOCK/POWERDIALOG)
Unlock อุปกรณ์
Scroll up/down
Simulate การกดแบบค้าง
Simulate การคลิกที่กำหนดเฉพาะ
ตั้งค่า clipboard UI ด้วยค่าเฉพาะเจาะจง
Simulate การคลิก UI ด้วยข้อความเฉพาะ
ตั้งค่าองค์ประกอบ UI เป็นข้อความเฉพาะ

นอกเหนือจากข้างต้น คำสั่ง "File Manager" จะเปลี่ยนมัลแวร์ให้เป็นตัวจัดการไฟล์ ทำให้ผู้โจมตีสามารถเข้าถึงรายการไฟล์ทั้งหมดที่จัดเก็บไว้ในอุปกรณ์ และดาวน์โหลดไฟล์ที่ต้องการได้

คำสั่งสำคัญอีกคำสั่งที่ ThreatFabric พบเกี่ยวข้องกับ WhatsApp ที่ทำให้ Hook สามารถบันทึกข้อความทั้งหมดในแอพ IM (Instant Messaging) ที่ได้รับความนิยมและยังช่วยให้ผู้โจมตีสามารถส่งข้อความผ่านบัญชีของเหยื่อได้ ในส่วนระบบการติดตามตำแหน่งใหม่ก็ช่วยให้ Hook สามารถติดตามตำแหน่งที่แม่นยำของเหยื่อได้โดยใช้สิทธิ์ "Access Fine Location"

การกำหนดเป้าหมายทั่วโลก

เป้าหมายของ Hook คือแอปพลิเคชันธนาคารต่างๆ ซึ่งคาดว่าจะส่งผลกระทบต่อผู้ใช้ในสหรัฐอเมริกา สเปน ออสเตรเลีย โปแลนด์ แคนาดา ตุรกี สหราชอาณาจักร ฝรั่งเศส อิตาลี และโปรตุเกส

ปัจจุบัน Hook มีการแพร่กระจายผ่านทาง Google Chrome APK ภายใต้ชื่อแพ็คเกจดังนี้

"com.

ThreatFabric หน่วยงานด้านความปลอดภัยทางไซเบอร์ ได้เผยแพร่ข้อมูลการพบ SpyNote (หรือที่รู้จักกันในชื่อ SpyMax) ซึ่งเป็น Android malware ที่ได้รับการปรับปรุงเอาลักษณะเฉพาะของสปายแวร์ และโทรจันสำหรับขโมยข้อมูลธนาคารรวมเข้าด้วยกัน ซึ่งเริ่มถูกพบครั้งแรกเมื่อเดือนตุลาคม 2022

การโจมตี

โดย SpyNote มีความสามารถมากมาย ได้แก่ การอนุญาตให้ติดตั้งแอปพลิเคชันโดยพลการ, การรวบรวมข้อมูล, ข้อความ SMS, การโทร, วิดีโอ และการบันทึกเสียง, การติดตามตำแหน่ง GPS, การขัดขวางการถอนการติดตั้งแอปพลิเคชัน

นอกจากนี้ SpyNote ยังมีฟังก์ชันการขอสิทธิ์การเข้าถึงบริการ เพื่อให้สามารถเข้าถึงรหัสการรับรองความถูกต้องสองขั้นตอน (2FA) จาก Google Authenticator และบันทึกการกดแป้นพิมพ์เพื่อขโมยข้อมูลที่เกี่ยวข้องกับแอปพลิเคชันของธนาคาร การขโมยรหัสผ่าน Facebook และ Gmail ตลอดจนจับภาพหน้าจอโดยใช้ MediaProjection API ของ Android

ThreatFabric ได้ระบุว่า ขณะนี้ SpyNote (เรียกว่า SpyNote.

นักวิจัยด้านความปลอดภัย Nipun Gupta และ Aazim Bill SE Yaswant พบ Trojan App ที่ชื่อว่า Schoolyard Bully Trojan บน Google Play Store โดยมียอดผู้ดาวน์โหลดแอปดังกล่าวไปแล้วกว่า 3 แสน รายใน 71 ประเทศ ซึ่งปัจจุบันได้ถูกถอดจาก Google Play Store ไปแล้ว แต่ก็ยังมีเผยแพร่อยู่บน 3rd party อื่น ๆ เช่น Telegram หรือ Whatsapp เป็นต้น

ลักษณะการทำงาน

Trojan ได้ถูกออกแบบมาเพื่อขโมย Facebook credentials เป็นหลัก โดยจะปลอมเป็นแอปพลิเคชั่นสำหรับการศึกษาที่ดูใช้งานได้ตามปกติ หรือแอปสำหรับอ่านนิยายออนไลน์เพื่อหลอกล่อให้เหยื่อดาวน์โหลดมาโดยไม่เกิดความสงสัย

ซึ่งหลังจากที่เหยื่อมีการโหลดมาแอปมาติดตั้งไว้บนเครื่องแล้วจะมีการหลอกล่อเหยื่อให้เปิดหน้าใช้งานเข้าสู่ระบบของ Facebook ใน WebView ซึ่งภายในหน้าเว็บนั้นจะมีการฝัง JavaScript ที่มีความสามารถในการขโมยข้อมูลจำพวก เบอร์โทรศัพท์ อีเมล และรหัสผ่านของผู้ใช้ ส่งไปยัง Command-and-control (C2) ที่ถูกกำหนดไว้ของผู้โจมตี

นอกจากนี้ Schoolyard Bully Trojan ยังมีความสามารถในการใช้ประโยชน์จาก native libraries เช่น libabc.