แอปพลิเคชัน Android SMS ที่มีอยู่บน Google Play Store ถูกพบว่ามีการใช้ประโยชน์จากการเข้าถึงข้อความ SMS เพื่อนำไปสร้างบัญชีบนแพลตฟอร์มต่างๆ เช่น Facebook, Google และ WhatsApp

แอปพลิเคชันนี้มีชื่อว่า Symoo (com.

นักวิจัยพบแอปพลิเคชันที่เป็นอันตราย 4 รายการ ที่อยู่บน Google Play ซึ่งเป็น official store ของ Android ซึ่งจะนำผู้ใช้งานเข้าไปสู่เว็ปไซต์ที่ใช้สำหรับขโมยข้อมูลที่สำคัญ หรือสร้างรายได้ให้กับแฮ็กเกอร์ในแบบที่เรียกว่า pay-per-click และบางเว็ปไซต์ยังหลอกให้เหยื่อดาวน์โหลดแอปพลิเคชันที่ปลอมแปลงเป็น security tools หรือแอปพลิเคชันอัปเดต เพื่อหลอกให้ผู้ใช้งานติดตั้งไฟล์ที่เป็นอันตรายด้วยตนเอง

โดยแอปพลิเคชันเหล่านี้อยู่ภายใต้บัญชีนักพัฒนาที่ชื่อว่า Mobile Apps Group บน Google Play และมียอดติดตั้งไปแล้วรวมกว่า 1 ล้านครั้ง

โดยรายงานจาก Malwarebytes พบว่า นักพัฒนารายเดียวกันนี้เคยมีการเผยแพร่แอปพลิเคชันที่มีลักษณะ adware บน Google Play มาก่อน แต่ก็ยังคงได้รับอนุญาตให้เผยแพร่แอปพลิเคชันต่อไปหลังจากทำการแก้ไขพฤติกรรมผิดปกติดังกล่าวไปแล้วในเวอร์ชันถัดมา

แอปที่เป็นอันตรายสี่รายการที่ถูกเปิดเผยในครั้งนี้ ได้แก่ :

Bluetooth Auto Connect มียอดติดตั้งไปแล้วมากกว่า 1,000,000 ครั้ง
Bluetooth App Sender มียอดติดตั้งไปแล้วมากกว่า 50,000 ครั้ง
Driver: Bluetooth,Wi-Fi, USB มียอดติดตั้งไปแล้วมากกว่า 10,000 ครั้ง
Mobile transfer : smart switch มียอดติดตั้งไปแล้วมากกว่า 10,000 ครั้ง

แอปพลิเคชันเหล่านี้ส่วนใหญ่จะได้รับความคิดเห็นในแง่ลบจากผู้ใช้งานบน Google Play โดยผู้ใช้งานจำนวนมากระบุเกี่ยวกับโฆษณาที่ถูกเปิดโดยอัตโนมัติในเบราว์เซอร์ ที่น่าสนใจคือนักพัฒนาได้ตอบกลับความคิดเห็นเหล่านี้บางส่วน และยังเสนอจะช่วยแก้ไขปัญหาในเรื่องการโฆษณาอีกด้วย

BleepingComputer ได้ทำการติดต่อไปยัง Mobile App Group เพื่อขอความคิดเห็นเกี่ยวกับการค้นพบของนักวิจัยจาก Malwarebytes แต่ยังไม่ได้รับการตอบกลับ

Malwarebytes พบว่าแอปพลิเคชันเหล่านี้จะมี delay 72 ชั่วโมงก่อนที่จะเริ่มแสดงโฆษณาครั้งแรก หรือเปิดลิงก์ฟิชชิ่งในเว็บเบราเซอร์ จากนั้นจึงจะมีการเปิดแท็บโฆษณาในลักษณะดังกล่าวขึ้นมาในทุกๆ 2 ชั่วโมง นักวิจัยตั้งข้อสังเกตว่าแท็บเบราว์เซอร์ใหม่จะยังคงถูกเปิดขึ้นมาแม้ในขณะที่อุปกรณ์ถูกล็อก ดังนั้นเมื่อผู้ใช้กลับมาใช้งานโทรศัพท์หลังจากผ่านไประยะหนึ่ง ก็จะพบว่ามีเว็ปไซต์ฟิชชิง และโฆษณาหลายแห่งถูกเปิดทิ้งไว้อยู่

จากการวิเคราะห์ไฟล์ Manifest แสดงให้เห็นว่านักพัฒนาพยายามสร้างความสับสนบน log ของการดำเนินการของแอปพลิเคชัน โดยใช้ log descriptor ที่ไม่มีความหมายเช่น "sdfsdf" ซึ่งแม้ว่าวิธีนี้จะใช้ได้ผลกับเครื่องมือที่ใช้ตรวจสอบโค้ดแบบอัตโนมัติ แต่ก็ช่วยให้นักวิจัยสามารถระบุการดำเนินการได้ง่ายขึ้น

หากผู้ใช้งานต้องการป้องกันแอดแวร์จากอุปกรณ์ ให้หลีกเลี่ยงการติดตั้งแอปพลิเคชันจากภายนอก อ่านรีวิวจากผู้ใช้งานอื่นๆ ตรวจสอบการใช้งานแบตเตอรี่ และข้อมูลการเชื่อมต่อผ่านเครือข่ายซึ่งจะช่วยระบุว่าอุปกรณ์กำลังมีการใช้งานซอฟต์แวร์ที่น่าสงสัยอยู่หรือไม่

หากมีแอปใดแอปหนึ่งข้างต้นติดตั้งอยู่ แนะนำให้ทำการลบออก และตรวจสอบอุปกรณ์โดยการใช้ mobile antivirus จากผู้ให้บริการที่มีความน่าเชื่อถือ

BleepingComputer ได้ทำการติดต่อไปยัง Google เพื่อแจ้งเกี่ยวกับประวัตินักพัฒนา และแอปพลิเคชันปัจจุบันของพวกเขา และจะอัปเดตข้อมูลทันทีเมื่อได้รับการตอบกลับจาก google

ที่มา : bleepingcomputer.

สปายแวร์บน Android ตัวใหม่ที่ชื่อว่า 'RatMilad' ถูกพบว่ากำลังมุ่งเป้าไปที่อุปกรณ์มือถือของผู้ใช้งานในตะวันออกกลาง เพื่อขโมยข้อมูลบนเครื่องของเหยื่อ

โดย RatMilad ถูกพบโดยบริษัท Zimperium ซึ่งเตือนว่ามัลแวร์ดังกล่าวอาจถูกนำมาใช้สำหรับการจารกรรมทางไซเบอร์ การขู่กรรโชก หรือเพื่อดักฟังการสนทนาของเหยื่อ

"คล้ายกันกับสปายแวร์บนมือถืออื่น ๆ ที่เคยถูกพบ ข้อมูลที่ถูกขโมยมาจากอุปกรณ์ของเหยื่อ สามารถใช้เพื่อเข้าถึงระบบภายในขององค์กร แบล็กเมล์เหยื่อ และอื่น ๆ"

ลักษณะการทำงาน

สปายแวร์จะถูกแพร่กระจายผ่านทางแอปพลิเคชันปลอมที่อ้างว่าสามารถ generate หมายเลขที่สามารถนำไปใช้สำหรับเปิดใช้งานบัญชีโซเชียลมีเดีย โดยใช้ชื่อว่า "NumRent" เมื่อติดตั้งแอปดังกล่าวแล้ว มันจะทำการดาวน์โหลด payload ของ RatMilad มัลแวร์

โดยแอปพลิเคชันจะถูกเผยแพร่ผ่านทาง Telegram เนื่องจาก NumRent หรือโทรจันอื่น ๆ ที่มี RatMilad ไม่สามารถดาวน์โหลดได้จาก Google Play Store

โดย NumRent ยังมีเว็ปไซต์ที่ถูกสร้างขึ้นเพื่อสร้างความน่าเชื่อถือให้กับแอปพลิเคชัน โดยผู้โจมตีจะโปรโมทเว็ปไซต์ผ่านทาง Telegram, social media และ communication แพลตฟอร์มต่าง ๆ

หลังจากติดตั้งบนอุปกรณ์ของเหยื่อได้สำเร็จแล้ว RatMilad จะพยายามขโมยข้อมูลต่อไปนี้ :

ข้อมูลอุปกรณ์พื้นฐาน (รุ่น, ยี่ห้อ, buildID, เวอร์ชัน Android)
ที่อยู่ MAC address ของอุปกรณ์
รายชื่อผู้ติดต่อ
ข้อความ
บันทึกการโทร
ชื่อบัญชีผู้ใช้ และสิทธิ์การเข้าถึงต่าง ๆ
รายการแอปพลิเคชัน และการอนุญาตที่ติดตั้ง
ข้อมูลคลิปบอร์ด
ข้อมูลตำแหน่ง GPS
ข้อมูลซิม (หมายเลข, ประเทศ, IMEI, รัฐ)
รายการไฟล์
เนื้อหาไฟล

นอกจากนี้ RatMilad ยังสามารถดำเนินการกับไฟล์ เช่น การลบไฟล์ และขโมยไฟล์ ปรับเปลี่ยนการอนุญาตของแอปที่ติดตั้ง หรือแม้แต่ใช้ไมโครโฟนของอุปกรณ์เพื่อบันทึกเสียง และดักฟังเสียงในห้อง

แนวทางการป้องกัน

เพื่อป้องกันการติดสปายแวร์ในลักษณะนี้ ให้หลีกเลี่ยงการดาวน์โหลดแอปจากภายนอก Google Play Store ตรวจสอบสิทธิ์ที่แอปพลิเคชันร้องขออย่างละเอียดระหว่างการติดตั้ง

 

ที่มา : bleepingcomputer

กลุ่มแฮ็กเกอร์กลุ่มใหม่ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลอิหร่านชื่อ APT42 ถูกพบว่ามีการใช้มัลแวร์บน Android ที่ถูกสร้างขึ้นเพื่อโจมตีเป้าหมายที่ต้องการ

บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางอินเทอร์เน็ต ได้รวบรวมหลักฐานเพียงพอที่จะระบุได้ว่า APT42 เป็นกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน ซึ่งมีส่วนเกี่ยวข้องในการสอดแนมทางอินเทอร์เน็ตต่อบุคคล และองค์กรที่รัฐบาลอิหร่านให้ความสนใจเป็นพิเศษ

APT42 ถูกพบครั้งแรกเมื่อ 7 ปีที่แล้ว และเกี่ยวข้องกับแคมเปญ spear-phishing ที่มุ่งเป้าไปที่เจ้าหน้าที่ของรัฐ ผู้กำหนดนโยบาย นักข่าว นักวิชาการทั่วโลก และผู้คัดค้านชาวอิหร่าน

เป้าหมายของแฮ็กเกอร์คือการขโมยข้อมูลบัญชี ในหลายกรณีกลุ่มแฮ็กเกอร์ยังติดตั้งมัลแวร์บน Android ที่สามารถติดตามการเข้าถึงอุปกรณ์ จัดเก็บ และดึงข้อมูลการสื่อสารของเหยื่อได้

เป้าหมายของแคมเปญ

จากข้อมูลของ Mandiant ผู้ค้นพบ APT42 พบว่ากลุ่ม APT42 ได้ปฏิบัติการมาแล้วอย่างน้อย 30 ครั้งใน 14 ประเทศตั้งแต่ปี 2558 ซึ่งอาจเป็นข้อมูลเพียงบางส่วนเท่านั้น

กลุ่ม APT42 เปลี่ยนเป้าหมายหลายครั้งเพื่อให้ตรงกับความสนใจในการรวบรวมข่าวกรองที่เปลี่ยนแปลงไป ตัวอย่างเช่น ในปี 2563 ใช้อีเมลฟิชชิงที่แอบอ้างเป็นผู้เชี่ยวชาญวัคซีนของมหาวิทยาลัยอ็อกซ์ฟอร์ดเพื่อกำหนดเป้าหมายเป็นบริษัทเภสัชภัณฑ์จากต่างประเทศ

ในปี 2564 APT42 ใช้ที่อยู่อีเมลขององค์กรสื่อของสหรัฐฯ ที่ถูกแฮ็ก เพื่อกำหนดเป้าหมายเหยื่อด้วยคำขอสัมภาษณ์ปลอม ๆ โดยทำการติดต่อกับพวกเขาเป็นเวลานานกว่า 37 วันก่อนที่จะโจมตีด้วยการหลอกเอาข้อมูล

ไม่นานมานี้ ในเดือนกุมภาพันธ์ พ.ศ. 2565 แฮ็กเกอร์ได้ปลอมเป็นสำนักข่าวของอังกฤษมีเป้าหมายเป็นอาจารย์ด้านรัฐศาสตร์ในเบลเยียม และสหรัฐอาหรับเอมิเรตส์

ในกรณีส่วนใหญ่ แฮ็กเกอร์จะมุ่งเป้าไปที่การเก็บรวบรวมข้อมูลประจำตัว โดยหลอกเหยื่อไปยังหน้าฟิชชิ่งที่ดูเหมือนเป็น login portals ที่ถูกต้อง ด้วยการส่งลิงก์ที่ถูกย่อให้สั้นลง หรือไฟล์แนบ PDF ที่นำไปสู่หน้าที่ให้กรอกข้อมูลประจำตัว รวมไปถึงเก็บข้อมูล MFA ได้ด้วย

Android malware

มัลแวร์บนอุปกรณ์ Android ที่ใช้ในแคมเปญของกลุ่ม APT42 จะช่วยให้ผู้โจมตีติดตามเป้าหมายได้อย่างใกล้ชิด ขโมยข้อมูลการโทร SMS และแอบบันทึกเสียง

Mandiant ระบุว่า “สปายแวร์บน Android นั้นแพร่กระจายไปยังเป้าหมายที่เป็นชาวอิหร่านเป็นหลัก ผ่านทางข้อความ SMS ที่มีลิงก์ไปยังแอพส่งข้อความหรือ VPN ที่สามารถช่วยหลีกเลี่ยงข้อจำกัดที่รัฐบาลกำหนด”

Mandiant ระบุในรายงานว่า “มัลแวร์ Android โจมตีบุคคลที่รัฐบาลอิหร่านให้ความสนใจและใช้วิธีการที่มีประสิทธิภาพ เพื่อให้ได้ข้อมูลที่สำคัญเกี่ยวกับเป้าหมาย รวมทั้งข้อมูลบนโทรศัพท์มือถือ รายชื่อผู้ติดต่อ และข้อมูลส่วนบุคคล”

Mandiant ยังรายงานการค้นพบแลนดิ้งเพจสำหรับการดาวน์โหลดแอป IM เป็นภาษาอาหรับ ดังนั้น ผู้โจมตีอาจติดตั้งมัลแวร์ Android นอกประเทศอิหร่านได้ด้วย

มัลแวร์ยังมีความสามารถในการบันทึกการใช้งานโทรศัพท์ เปิดไมโครโฟน และบันทึกภาพ และถ่ายภาพตามคำสั่ง อ่านข้อความ และติดตามตำแหน่ง GPS ของเหยื่อแบบ real time

ที่มา : bleepingcomputer

แอปพลิเคชันที่มีลักษณะเป็น adware กำลังพยายามทำการโปรโมตอย่างจริงจังบน Facebook ในฐานะแอปพลิเคชัน system cleaners และสามารถใช้เพื่อเพิ่มประสิทธิภาพบนอุปกรณ์ Android ได้ ซึ่งปัจจุบันมีการติดตั้งไปแล้วหลายล้านครั้งบน Google Play Store

แอปพลิเคชันประเภทนี้ไม่ได้ทำงานได้จริงอย่างที่ได้โฆษณาไว้ แต่จะพยายามที่จะอยู่บนเครื่องให้ได้นานที่สุด และเพื่อหลบเลี่ยงการถูกลบออกจากเครื่อง แอปพลิเคชันประเภทนี้จะซ่อนอยู่โดยการเปลี่ยนภาพของไอคอน และชื่อของแอปพลิเคชัน โดยปลอมแปลงเป็นไอคอน Setting หรือ Play Store

รวมไปถึง adware ในแอปพลิเคชันประเภทนี้จะถูกแสดงขึ้นมาทุกครั้งที่ผู้ใช้งานติดตั้งแอปพลิเคชันใหม่ๆ จึงทำให้ผู้ใช้งานคิดว่าโฆษณาที่ถูกโชว์ขึ้นมานั้นมาจากแอปพลิเคชันที่พึ่งติดตั้งไป ไม่ใช่จาก adware ในแอปพลิเคชันประเภทนี้

นักวิจัยจาก McAfee ผู้ค้นพบแอปพลิเคชันประเภทนี้ระบุว่า ผู้ใช้ไม่ต้องเปิดแอปพลิเคชันหลังจากการติดตั้งเพื่อทำให้โฆษณาถูกเปิดขึ้นมา เนื่องจากแอปพลิเคชันประเภทนี้สามารถเริ่มต้นทำงานได้ด้วยตัวเองโดยอัตโนมัติ หากมีการหยุดการทำงานของ process แอปพลิเคชันก็จะสั่งการให้กลับขึ้นมาทำงานเองอีกครั้งทันที

จากรายงานของ McAfee สาเหตุที่ผู้ใช้งานเชื่อว่าแอปพลิเคชันประเภทนี้มีความน่าเชื่อถือ เนื่องจากเพราะเห็นลิงก์ของแอปพลิเคชันบน Facebook จึงส่งผลให้จำนวนการดาวน์โหลดสูงผิดปกติสำหรับแอปพลิเคชันบางประเภทดังนี้

Junk Cleaner, cn.

รายละเอียดเบื้องต้น

สัปดาห์ที่ผ่านมา บริการแจ้งเตือนการละเมิดข้อมูล Have I Been Pwned (HIBP) ได้เพิ่มบัญชีกว่า 23 ล้านบัญชีของ Mangatoon ซึ่งเป็นแอปบน iOS และ Android ยอดนิยมที่ผู้ใช้หลายล้านคนใช้เพื่ออ่านการ์ตูนมังงะออนไลน์

โดยการเพิ่มฐานข้อมูล Mangatoon เกิดขึ้นหลังจากที่ Troy Hunt เจ้าของ HIBP พยายามติดต่อ Mangatoon แต่ไม่ได้รับการตอบกลับ

ส่วนการโจมตีนั้นเกิดจากกลุ่มแฮ็กเกอร์ที่รู้จักกันในชื่อ pompompurin ทำการโจมตีไปยังเซิร์ฟเวอร์ Elasticsearch ที่เป็น Database ของ Mangatoon ได้สำเร็จเนื่องจากระบบมีการป้องกันได้ไม่ดีพอ จากนั้น pompompurin ได้แชร์ตัวอย่างข้อมูลที่ได้มากับ BleepingComputer และได้รับการยืนยันหลังจากนั้นว่าข้อมูลทั้งหมดเป็นข้อมูลจริง ซึ่งประกอบไปด้วย ชื่อ ที่อยู่อีเมล เพศ บัญชีโซเชียลมีเดีย โทเค็นการตรวจสอบสิทธิ์จากการเข้าสู่ระบบโซเชียล และแฮชรหัสผ่าน MD5 นอกจากนี้จะมีการเผยแพร่ข้อมูลบางส่วนออกสู่สาธารณะเนื่องจากทาง Mangatoon ไม่มีการตอบกลับเรื่องการจ่ายค่าไถ่

pompompurin มีส่วนเกี่ยวข้องกับการโจมตีอื่น ๆ เช่น การส่งอีเมลปลอมเกี่ยวกับเหตุการณ์การโจมตีทางไซเบอร์ผ่าน Portal ของ FBI (LEEP) และการขโมยข้อมูลลูกค้าจาก Robinhood

ที่มา : bleepingcomputer.

ปัจจุบันแอปพลิเคชันรับรองการฉีดวัคซีนโควิดถูกนำมาใช้ในการเดินทางเข้าออกประเทศต่าง ๆ อย่างแพร่หลาย แต่จากการตรวจสอบพบว่า แอปพลิเคชันเหล่านี้ กว่า 2 ใน 3 มีความเสี่ยงสูงที่ข้อมูลส่วนตัวของผู้ใช้งานจะรั่วไหล เนื่องจากแอปฯเหล่านี้มีผู้ใช้งานทั่วโลก เป็นจุดอ่อนให้แฮกเกอร์สามารถเข้าถึงได้ง่าย

พาสปอร์ตแบบดิจิทัล (Digital passports)

แอปพลิเคชันพาสปอร์ตแบบดิจิทัล (Digital passport apps) มักจะมีข้อมูลส่วนตัวของผู้ใช้ เช่น สถานะการฉีดวัคซีน, ชื่อ นามสกุล, เลขบัตรประชาชน, วันเดือนปีเกิด, และข้อมูลส่วนบุคคลอื่นที่สามารถระบุตัวตนของบุคคลได้ (personally identifiable information (PII)) โดยข้อมูลดังกล่าวอาจอยู่ในรูปแบบ QR code หรืออาจแสดงเป็นข้อความที่สามารถพบเห็นได้ทันทีเมื่อเข้าแอปฯ ผู้ใช้สามารถนำ QR code หรือหลักฐานรับรองการฉีดวัคซีนในแอปมายืนยัน เมื่อต้องการเข้าพื้นที่ต่างๆ ไม่ว่าจะเป็นพื้นที่ปกติ หรือพื้นที่เสี่ยง และโดยส่วนใหญ่แล้วหน่วยงานของรัฐที่ทำงานด้านสาธารณสุขหรือด้านเทคโนโลยีมักจะเป็นผู้อนุญาตให้มีการพัฒนาแอปฯเหล่านี้ขึ้น ทีมงานของ Symantec ได้ทำการตรวจสอบแอปฯเหล่านี้กว่า 40 แอปฯ และทีมงานได้ทำการตรวจสอบแอปพลิเคชัน validation (scanner) ที่ใช้สำหรับตรวจสอบความถูกต้องของข้อมูลอีก 10 แอปฯ พบว่า 27 แอปฯมีความเสี่ยงด้านความปลอดภัย และความเป็นส่วนตัว ดังนี้

ความเสี่ยงแรกที่ทีมงานตรวจพบก็คือ แอปฯเหล่านี้มักจะสร้าง QR code ที่ไม่ผ่านการเข้ารหัส encryption มีการเข้ารหัส encoding เพียงเล็กน้อยเท่านั้น Encoding คือ การเปลี่ยนรูปแบบของข้อมูล ซึ่งในกรณีนี้คือ ข้อมูลสุขภาพของผู้ใช้งานให้อยู่ในรูปแบบที่ง่ายต่อการสแกน และนำไปใช้ต่อ ในขณะที่ Encryption คือ การเปลี่ยนข้อมูลโดยใช้ cryptographic algorithms ทำให้ข้อมูลไม่สามารถถูกอ่านหรือเข้าถึงง่าย ซึ่งจะมีหน่วยงานเพียงไม่กี่หน่วยงานที่สามารถถอดรหัส และเข้าถึงข้อมูลนั้นได้ การใช้ Encoding เพียงอย่างเดียว ทำให้ใครก็ตามที่สามารถสแกน QR code ได้ สามารถเข้าถึงข้อมูลได้ นอกจากนี้ อีกปัญหาที่ทีมงานตรวจสอบพบก็คือ 38% ของแอปฯมีการส่งผ่านข้อมูลทั้งหมดผ่าน cloud-storage โดยไม่มีการเชื่อม HTTPS ทำให้ข้อมูลเสี่ยงที่จะถูก “man-in-the-middle” ได้
ปัญหาที่สามคือการจัดเก็บข้อมูลในฐานข้อมูลภายนอกของ Android ซึ่งมีความเสี่ยงสูง เพราะจะทำให้แอปฯสามารถเข้าถึงข้อมูลต่างๆภายในโทรศัพท์ได้ทันที โดยพบ 17 แอปฯ จาก 40 แอปฯ ที่มีปัญหานี้ (คิดเป็น 43%)
จุดอ่อนอื่นๆที่พบเช่น hard-coded cloud service credentials และ SSL CA validation ก็ทำให้เกิดความเสี่ยงเช่นเดียวกัน

การลดความเสี่ยง
หากท่านมีความจำเป็นที่จะต้องใช้งานแอปพลิเคชันเหล่านี้ แนะนำให้หลีกเลี่ยงการใช้แอปจาก third-party ที่ขาดความน่าเชื่อถือ เลือกใช้งานแอปฯจากบริษัทที่มีความน่าเชื่อถือสูง เช่น Apple Health และ Google Wallet นอกจากนี้ขณะติดตั้ง ให้ท่านอ่านเงื่อนไขต่างๆที่แอปฯต้องการ และเลือกไม่อนุญาตให้แอปเข้าถึงข้อมูลที่ไม่เกี่ยวข้องกับการทำงานหลักของแอปฯ หากแอปฯดังกล่าวถูกออกแบบมาเพื่อรับรองการฉีดวัคซีนโควิดเพียงอย่างเดียวจริงๆ จะต้องสามารถทำงานได้ แม้จะไม่ได้รับอนุญาตให้เข้าถึงข้อมูลบางส่วนก็ตามที่อาจทำให้เกิดความเสี่ยงได้

ที่มา : bleepingcomputer

Aberebot banking trojan บน Android กลับมาอีกครั้งในชื่อ 'Escobar' พร้อมคุณสมบัติใหม่สามารถขโมยรหัส multi-factor authentication จาก Google Authenticator ได้

คุณสมบัติใหม่ของ Aberebot เวอร์ชันล่าสุดคือสามารถควบคุมอุปกรณ์ Android ที่ติดมัลแวร์โดยใช้ VNC และยังสามารถบันทึกเสียง และแอบถ่ายภาพได้ โดยเป้าหมายหลักของมันคือการขโมยข้อมูลเพื่อเข้าถึงบัญชีธนาคารของเหยื่อ แอบทำธุรกรรม และขโมยเงินในบัญชีของเหยื่อ

แพลตฟอร์ม DARKBEAST ของ KELA ผู้พัฒนา Aberebot มีการโปรโมทมัลแวร์ในเวอร์ชันใหม่ที่ชื่อว่า 'Escobar Bot Android Banking Trojan' โดยผู้ใดสนใจสามารถเช่ามัลแวร์รุ่นเบต้าได้ในราคา 3,000 ดอลลาร์/เดือน และวางแผนที่จะเพิ่มราคาเป็น 5,000 ดอลลาร์ หลังจากพัฒนาเสร็จแล้ว

(more…)

มัลแวร์ SharkBot ได้แทรกซึมเข้าไปอยู่ใน Google Play Store โดยปลอมตัวเป็นโปรแกรมป้องกันไวรัส

แม้ว่าตัวแอปยังไม่เป็นที่นิยม หรือถูกดาวน์โหลดไปมากนัก แต่การที่ตัวแอปยังสามารถอยู่บน Play Store ได้ แสดงให้เห็นว่าผู้เผยแพร่มัลแวร์ยังคงสามารถหลบเลี่ยงการตรวจจับของ Google ได้เป็นอย่างดีจนถึงปัจจุบัน

แอพพลิเคชั่นบน Android ที่จริง ๆ แล้วคือ SharkBot

รายละเอียดผู้เผยแพร่บน Play Store

SharkBot สามารถทำอะไรได้บ้าง?

มัลแวร์ดังกล่าวถูกค้นพบครั้งแรกโดย Cleafy ในเดือนตุลาคม 2564 โดยฟีเจอร์ที่สำคัญที่สุด ที่ทำให้แตกต่างจาก Banking Trojan อื่น ๆ คือการโอนเงินผ่านระบบโอนอัตโนมัติ (ATS) บนอุปกรณ์ที่ถูกควบคุม

(more…)

สถาบันวิจัยพลังงานปรมาณูเกาหลี (KAERI) ของรัฐบาลเกาหลีใต้เปิดเผยเมื่อวันศุกร์ว่าเครือข่ายภายในของบริษัทถูกบุกรุกโดยผู้ต้องสงสัยที่คาดว่ามาจากเกาหลีเหนือ

การบุกรุกเกิดขึ้นเมื่อวันที่ 14 พฤษภาคม ผ่านช่องโหว่ของ VPN (โดยยังไม่มีการระบุว่าเป็นของผู้ให้บริการรายใด) และมี IP Address ของผู้โจมตีที่เกี่ยวข้องกับเหตุการณ์นี้ทั้งหมด 13 IP โดยหนึ่งในนั้นคือ IP "27.102.114[.]89" ซึ่งมีประวัติการเชื่อมโยงกับกลุ่มแฮกเกอร์ที่คาดว่าได้รับการสนับสนุนโดยรัฐบาลเกาหลีเหนือชื่อว่า Kimsuky

KAERI ก่อตั้งขึ้นในปี 2502 ในเมืองแดจอน เป็นสถาบันวิจัยที่ได้รับทุนสนับสนุนจากรัฐบาลซึ่งออกแบบ และพัฒนาเทคโนโลยีนิวเคลียร์ที่เกี่ยวข้องกับเครื่องปฏิกรณ์ แท่งเชื้อเพลิง การหลอมรวมของรังสี และความปลอดภัยของนิวเคลียร์

หลังจากการบุกรุก KAERI กล่าวว่าได้ดำเนินการตามขั้นตอนเพื่อบล็อก IP Address ของผู้โจมตี และอัพเดทแพตซ์ของ VPN ที่มีช่องโหว่เรียบร้อยแล้ว โดยสถาบันฯกำลังสืบสวนรายละเอียดผลกระทบจากการบุกรุก และมูลค่าความเสียหายที่เกิดขึ้น

จากรายงานของสำนักข่าว SISA ของเกาหลีใต้ซึ่งเปิดเผยถึงเหตุการณ์การบุกรุกในครั้งนี้ โดยสำนักข่าวอ้างว่า KAERI พยายามปกปิดการโจมตี โดยพยายามปฏิเสธการโจมตีที่เกิดขึ้น ซึ่ง KAERI อ้างว่าเป็นเพียงความผิดพลาดจากพนักงานระดับปฏิบัติการเท่านั้น

ตั้งแต่ปี 2012 Kimsuky (หรือที่รู้จักในชื่อ Velvet Chollima, Black Banshee หรือ Thallium) เป็นกลุ่มแฮกเกอร์ชาวเกาหลีเหนือที่รู้จักในแคมเปญจารกรรมทางอินเทอร์เน็ตที่กำหนดเป้าหมายไปยังสถาบันวิจัย และปฏิบัติการพลังงานนิวเคลียร์ในเกาหลีใต้

เมื่อช่วงต้นเดือนที่ผ่านมา บริษัทผู้เชี่ยวชาญทางด้าน Cyber Security อย่าง Malwarebytes ได้เปิดเผยถึงการโจมตีไปยังเจ้าหน้าที่ระดับสูงของรัฐบาลเกาหลีใต้ โดยใช้วิธีการติดตั้ง Backdoor บนระบบปฏิบัติการ Android และ Windows ที่ชื่อว่า AppleSeed โดยมีเป้าหมายเพื่อรวบรวมข้อมูลที่มีความสำคัญ

โดยมีเป้าหมายคือหน่วยงานที่เกี่ยวข้องกับกระทรวงการต่างประเทศ เอกอัครราชทูตศรีลังกาประจำประเทศ เจ้าหน้าที่ความมั่นคงทางนิวเคลียร์ของสำนักงานพลังงานปรมาณูระหว่างประเทศ (IAEA) และรองกงสุลใหญ่ประจำสถานกงสุลเกาหลีใต้ในฮ่องกง โดยมี IP Address ของ command-and-control (C2) ที่ตรงกัน

ยังไม่มีข้อมูลว่าช่องโหว่ VPN ที่ถูกใช้ในการโจมตีที่เกิดขึ้นเป็นของผู้ให้บริการรายใด แต่ที่ผ่านมามีหลายองค์กรที่ถูกโจมตีด้วยช่องโหว่ของ VPN จากผู้ให้บริการต่างๆเช่น Pulse Secure, SonicWall, Fortinet FortiOS และ Citrix หลายครั้งในช่วงไม่กี่ปีที่ผ่านมา

ที่มา : thehackernews