นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้รายงานถึงการค้นพบ Android banking trojan ชนิดใหม่ที่สามารถสอดแนมและขโมยข้อมูลจากแอปพลิเคชันของผู้ใช้ Android ได้ โดยหลังจากนักวิจัยพบจำนวนแอปพลิเคชัน 153 แอปพลิเคชันที่มีอันตรายและนักวิจัยได้เรียกโทรจันชนิดนี้ว่า Ghimob

นักวิจัยกล่าวว่า Ghimob เป็นโทรจันได้รับการพัฒนาโดยกลุ่มเดียวกันที่อยู่เบื้องหลังมัลแวร์ Windows Astaroth หรือ Guildma การตรวจพบเกิดจากทีมนักวิจัยได้รับข้อเสนอให้ทำการดาวน์โหลด Android ที่เป็นอันตรายบนเว็บไซต์เเห่งหนึ่งและเมื่อทำการตรวจสอบเซิร์ฟเวอร์ที่ใช้งานพบว่าเป็นเซิร์ฟเวอร์ที่ก่อนหน้านี้ถูกใช้โดยกลุ่มมัลแวร์ Astaroth (Guildama)

แอปที่อยู่ภายในเว็บไซต์พบว่ามีการเลียนแบบแอปและแบรนด์ที่เป็นทางการโดยมีชื่อเช่น Google Defender, Google Docs, WhatsApp Updater หรือ Flash Update หากผู้ใช้ประมาทและทำการติดตั้งแอป ถึงแม้จะมีคำเตือนที่แสดงบนอุปกรณ์ของผู้ใช้ก็ตาม แอปที่เป็นอันตรายเหล่านี้จะร้องขอการเข้าถึงบริการ ซึ่งจะเป็นขั้นตอนสุดท้ายในกระบวนการติดไวรัสและถ้าหากได้รับอนุญาต แอปจะค้นหาข้อมูลภายในโทรศัพท์ที่ติดไวรัสเพื่อดูรายการแอปของผู้ใช้ จากนั้นจะแสดงหน้าล็อกอินปลอมเพื่อพยายามขโมยข้อมูล Credential ของผู้ใช้ ซึ่งหลังจากความพยายามฟิชชิงข้อมูลสำเร็จข้อมูล Credential ที่รวบรวมไว้ทั้งหมดจะถูกส่งกลับไปยังกลุ่ม Ghimob ซึ่งจะใช้ข้อมูลเหล่านี้ในการเข้าถึงบัญชีของเหยื่อและเริ่มทำธุรกรรมที่ผิดกฎหมาย

นักวิจัยยังกล่าวอีกว่าแอปที่แฝงมัลแวร์ Ghimob ไว้นั้นได้กำหนดเป้าหมายส่วนใหญ่เป็นของธนาคารในบราซิล , เยอรมนี, โปรตุเกส, เปรู, ปารากวัย, แองโกลาและโมซัมบิก และยังได้เพิ่มเป้าหมายไปยังแอปพลิเคชันที่มีเกี่ยวข้องกับ cryptocurrency exchange เพื่อพยายามเข้าถึงบัญชีสกุลเงินดิจิทัล

ทั้งนี้ผู้ใช้ Android ควรมีระมัดระวังในการดาวน์โหลดแอปพลิเคชันจากเเหล่งที่ไม่รู้จักเพื่อเป็นการป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: zdnet.

Adobe เปิดตัวแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ที่สำคัญ 3 รายการใน Adobe Reader สำหรับ Android และ Adobe Connect

ช่องโหว่ CVE-2020-24442, CVE-2020-24443 เป็นช่องโหว่ Cross Site Scripting (XSS) ที่อยู่ภายใน Adobe Connect โดยช่องโหว่อาจทำให้ผู้โจมตีสามารถเรียกใช้ JavaScript ที่เป็นอันตรายได้
ช่องโหว่ CVE-2020-24441 เป็นช่องโหว่การเปิดเผยข้อมูลสำคัญใน Adobe Reader สำหรับ Android โดยช่องโหว่อาจทำให้ผู้โจมตีสามารถอ่านข้อมูลของผู้ใช้ได้

ทั้งนี้ผู้ใช้ Adobe Connect ควรทำการอัปเดตและติดตั้ง Adobe Connect ให้เป็นเวอร์ชัน 11.0.5 และผู้ใช้ Adobe Reader สำหรับ Android ควรทำการอัปเดตและติดตั้ง Adobe Reade สำหรับ Android ให้เป็นเวอร์ชัน 20.9.0 เพื่อเเก้ไขช่องโหว่และเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา: bleepingcomputer.

แพตช์ Android รอบเดือนพฤศจิกายน 2020 มาแล้ว รวม 30 ช่องโหว่ถูกแพตช์

กูเกิลประกาศแพตช์สำหรับแอนดรอยด์ประจำเดือนพฤศจิกายน 2020 เมื่อช่วงต้นเดือนทีผ่านมา โดยในรอบนี้นั้นมีช่องโหว่ทั้งหมด 30 รายการที่ถูกแพตช์

หนึ่งในช่องโหว่ที่ร้ายแรงที่สุดในรอบนี้นั้นคือช่องโหว่รหัส CVE-2020-0449 ซึ่งเป็นช่องโหว่ในระบบของแอนดรอยด์เอง ผู้โจมตีช่องโหว่สามารถรันโค้ดที่เป็นอันตรายด้วยสิทธิ์ที่สูงจากระยะไกลเพื่อยืดและควบคุมระบบได้ ช่องโหว่นี้กระทบแอนดรอยด์ในรุน 8.0, 8.1, 9, 10 และ 11 แพตช์ในส่วนของระบบยังเป็นส่วนของแพตช์ที่ถูกประกาศเยอะที่สุดในรอบนี้ซึ่งมีไม่บ่อยมาก รองลงมาคือแพตช์ในส่วนของเฟรมเวิร์คต่างๆ ที่เกี่ยวข้องกับระบบ

ผู้ใช้งานสามารถทำการตรวจสอบแพตช์ในอุปกรณ์และทำการอัปเดตได้แล้ววันนี้

ที่มา: securityweek

มัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS

นักวิจัยด้านความปลอดภัยจาก Kaspersky ได้เผยถึงการตรวจพบมัลแวร์ GravityRAT สายพันธุ์ใหม่ที่สามารถเเพร่กระจายได้บนอุปกรณ์ Android และ macOS

GravityRAT เป็น Remote Access Trojan (RAT) ที่ได้รับการพัฒนาจากกลุ่มแฮกเกอร์ชาวปากีสถานอย่างน้อยตั้งแต่ 2015 เพื่อใช้ในการโจมตีเป้าหมายในหน่วยงานและองค์กรทางด้านทหารของอินเดีย

ด้วยความสามารถใหม่นี้มัลแวร์ GravityRAT ที่ปัจจุบันปลอมตัวเป็นแอป Android และ macOS ที่ถูกต้องจะมีความสามารถในการดักจับข้อมูลของอุปกรณ์, รายชื่อผู้ติดต่อ, ที่อยู่, อีเมล,บันทึกการโทรและข้อความ หลังจากนั้นจะทำการส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ทั้งนี้มัลแวร์ GravityRAT ยังมีความสามารถในการค้นหาไฟล์ในคอมพิวเตอร์และอุปกรณ์ removable disk ที่มีนามสกุล. doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp และ. ods และอัปโหลดไปยังเซิร์ฟเวอร์, ตรวจสอบโปรเซสที่กำลังทำงานอยู่, ล็อคกดแป้นพิมพ์, ถ่ายภาพหน้าจอ, รันคำสั่งเชลล์โค้ดได้, บันทึกเสียงและสแกนพอร์ต

ทั้งนี้ผู้ใช้งานควรระมัดระวังในการเปิดเอกสารหรือดาวน์โหลดไฟล์จากเเหล่งที่ไม่ทราบข้อมูลที่ชัดเจนและควรพิจารณาใช้ซอฟต์แวร์ป้องกันไวรัสที่มีประสิทธิภาพเพื่อเป็นการป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้าย

ที่มา: bleepingcomputer

Microsoft ออกเเจ้งเตือนถึง Android ransomware สายพันธุ์ใหม่ที่ใช้กลไก "incoming call" หรือการแจ้งเตือนสายเรียกเข้าเพื่อหลอกผู้ใช้ให้กดรับสายและเพื่อเป็นการเปิดการทำงานในการล็อกหน้าจอบนอุปกรณ์ของผู้ใช้

แรนซัมแวร์ที่ถูกเเจ้งเตือนมีชื่อ AndroidOS/MalLocker.

ทีมนักวิจัย Unit 42 จาก Palo Alto Networks ได้เผยถึงการพบเวิร์ม cryptojacking ที่มีชื่อว่า “Black-T” จากกลุ่ม TeamTNT ซึ่งเป็นกลุ่มที่รู้จักกันในการกำหนดเป้าหมายเพื่อโจมตี AWS จากนั้นทำการใช้ Monero (XMR) cryptocurrency โดยเวิร์มที่ถูกค้นพบนั้นได้ถูกพัฒนาใหม่ทั้งการเพิ่มความสามารถในการขโมยรหัสผ่านและเครื่องสแกนเครือข่ายเพื่อให้ง่ายต่อการแพร่กระจายไปยังอุปกรณ์ที่มีช่องโหว่อื่นๆ

จากรายงานของทีมนักวิจัย Unit 42 พบว่า TeamTNT ได้เพิ่มความสามารถของมัลแวร์ในการใช้เครื่องมือ zgrab ซึ่งเป็นเครื่องมือสแกนเครือข่ายชนิดเดียวกับ pnscan และ masscan ที่อยู่ภายใน Black-T อยู่แล้วทำการสแกนเป้าหมาย ทั้งนี้เครื่องมือสแกน masscan ที่ใช้โดย Black-T ก็ได้รับการอัปเดตเพื่อกำหนดเป้าหมายเป็นพอร์ต TCP 5555 ซึ่งอาจบอกเป็นนัยว่า TeamTnT อาจกำหนดเป้าหมายไปที่อุปกรณ์ Android นอกจากนี้ Black-T ยังได้เพิ่ม Mimikatz แบบโอเพนซอร์สสองตัวคือ mimipy (รองรับ Windows / Linux / macOS) และ mimipenguin (รองรับ Linux) ทำการอ่านข้อมูลรหัสแบบ plaintext ภายในหน่วยความจำของระบบที่ถูกบุกรุกและส่งไปยังเซิร์ฟเวอร์ C&C ของ TeamTNT

ด้วยการรวมเทคนิคและขั้นตอนทั้งหมดเข้าด้วยกัน TeamTNT สามารถใช้บ็อตเน็ตของเซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อทำการสแกนหา Docker daemon API เพิ่มเติม ภายในเครือข่ายโดยใช้เครื่องมือ masscan, pnscan และ zgrab และเมื่อมัลแวร์สามารถบุกรุกแล้วได้จะทำการติดตั้ง Kubernetes และ Docker และหลังจากนั้นจะปรับใช้ payload binary ใน container เพื่อทำการเริ่มต้น Monero (XMR) cryptocurrency ภายในเครื่องที่บุกรุก

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบให้แน่ใจว่า Docker daemon API บนระบบคลาวด์ของท่านไม่ถูกเปิดเผยและสามารถเข้าถึงได้จากอินเตอร์เน็ตและเพื่อเป็นการป้องกันการตกเป็นเหยือของมัลแวร์ ผู้ดูแลระบบควรใช้ทำการติดตั้งและใช้งาน Next-Generation Firewall ในระบบของท่าน

ที่มา : bleepingcomputer

Google ประกาศจัดตั้งทีม Android Partner Vulnerability Initiative (APVI) เพื่อจัดการและดูแลเเก้ไขเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่ถูกพบในอุปกรณ์ Android และซอฟต์แวร์ที่ให้บริการในรูปแบบ Android OEM ของผู้ผลิตที่เป็น Android partner กับ Google

ในการจัดตั้งทีม APVI นั้น Google มีเป้าหมายเพื่อทำการรวบรวมปัญหาด้านความปลอดภัยต่างๆ จากนักวิจัยด้านความปลอดภัย ซึ่งจะรายงานผ่านช่องทางเช่น Android Security Rewards Program (ASR), Google Play Security Rewards Program, Android Open Source Project (AOSP) และ Android Security Bulletins (ASB) เพื่อแก้ไขปัญหาที่ Google ค้นพบหรือได้รับรายงาน ซึ่งปัญหาและช่องโหว่อาจส่งผลกระทบต่อความปลอดภัยของอุปกรณ์ Android หรือผู้ใช้งาน Android เช่น ปัญหาจาก permissions bypasses, การเรียกใช้โค้ดใน kernel, credential leak และปัญหา backup ไม่ได้เข้ารหัสใน Android OEM ที่ผลิตโดย Android partner ทั้งนี้ผู้ที่สนใจรายละเอียดสามารถอ่านเพิ่มเติมได้จากเเหล่งที่มา

ที่มา: security.

Mozilla ได้แก้ไขช่องโหว่ที่อาจทำให้แฮกเกอร์สามารถ hijack เบราว์เซอร์ Firefox สำหรับ Android ที่ทำงานบนอุปกรณ์ที่เชื่อมต่อกับเครือข่าย Wi-Fi เดียวกัน ซึ่งช่องโหว่นี้อาจถูกใช้เพื่อบังคับให้ผู้ใช้เข้าเยี่ยมชมเว็บไซต์ที่มีเนื้อหาที่เป็นอันตรายที่ออกเบบมาเพื่อทำการฟิชชิ่งผู้ใช้หรือให้ดาวน์โหลดมัลแวร์ไปยังอุปกรณ์ของผู้ใช้

ช่องโหว่ที่ได้รับการเเก้ไขนี้อยู่ในโปรโตคอล Simple Service Discovery Protocol (SSDP) ของ Firefox ซึ่ง SSDP เป็นโปรโตคอลที่ใช้ UDP และเป็นส่วนหนึ่งของ Universal Plug and Play ( UPnP ) ใช้สำหรับค้นหาอุปกรณ์อื่นที่เชื่อมต่อกับเครือข่าย Wi-Fi เดียวกันเพื่อแชร์หรือรับเนื้อหาเช่นสตรีมวิดีโอที่แชร์โดยใช้อุปกรณ์ที่อยู่ภายในเครือข่าย โดย Firefox สำหรับ Android จะส่งข้อความการค้นหา SSDP ไปยังโทรศัพท์มือถือที่เชื่อมต่อกับเครือข่ายเดียวกันเป็นระยะเพื่อค้นหาอุปกรณ์หน้าจอที่สองที่จะส่ง หลังจากค้นหาอุปกรณ์ที่เชื่อมต่อแล้วคอมโพเนนต์ SSDP ของ Firefox จะติดตามตำแหน่งของไฟล์ XML ซึ่งเก็บรายละเอียดการกำหนดค่าของอุปกรณ์

ด้วยเหตุนี้ผู้โจมตีสามารถเรียกใช้เซิร์ฟเวอร์ SSDP ที่เป็นอันตรายที่ตอบสนองด้วยข้อความที่สร้างขึ้นเป็นพิเศษชี้ไปที่ Android intent URI. จากนั้นผู้ใช้ Android ที่เข้าเว็บไซต์ผ่าน Firefox จะถูก hijack เบราว์เซอร์และจะทำให้ผู้โจมตีสามารถรีไดเร็คผู้ใช้ไปยังหน้าเว็บฟิชชิ่งหรือทำให้เครื่องของผู้ใช้ดาว์นโหลดมัลแวร์จากเว็บไซต์ที่เป็นอันตรายหรือติดตั้งส่วนขยายของ Firefox ที่เป็นอันตราย ช่องโหว่ถูกค้นพบโดย Chris Moberly นักวิจัยด้านความปลอดภัยชาวออสเตรเลียและช่องโหว่นี้จะส่งผลต่อ Firefox สำหรับ Android เวอร์ชัน 68.11.0 และต่ำกว่า

ผู้ใช้ Firefox สำหรับ Android ควรทำการอัปเดตเบราว์เซอร์เป็นเวอร์ชัน 79 หรือเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตี

ที่มา : Hackread | Welivesecurity

Google ลบแอปพลิเคชันจำนวน 56 รายการที่แฝงมัลเเวร์ออกจาก Google Play Store

Google ดำเนินการลบแอปพลิเคชัน 56 รายการออกจาก Google Play Store หลังถูกระบุว่ามีบ็อตเน็ต Terracotta แฝงอยู่ในแอปพลิเคชัน อ้างอิงจากการวิจัยโดย White Ops ที่ได้ทำการติดตามการเคลื่อนไหวตั้งเเต่ปลายปี 2019

พฤติกรรมของ Terracotta คือการหลอกผ่านโฆษณาแอปให้ติดตั้งแอปอันตรายเพิ่มเพื่อแลกกับการได้รางวัล โดยแอปอันตรายที่จะถูกติดตั้งหากผู้ใช้หลงเชื่อนั้นจะแฝงฟังก์ชันในการโหลดโฆษณาเพื่อแอบหารายได้เอาไว้

จากรายงานของ WhiteOps ที่ออกในเดือนมิถุนายน 2020 นั้นพบว่ามีผู้ตกเป็นเหยื่อถูกทำให้โหลดโฆษณาที่ทำการซ่อนไว้มากกว่าสองพันล้านรายการจากจำนวนมากกว่า 65,000 เครื่องและมีแอปมากกว่า 5,000 แอปพลิเคชันที่ทำการเเฝง Terracotta ไว้

ผู้ใช้งาน Android ควรทำการตรวจสอบแอปพลิเคชันที่ทำการดาวน์โหลดทุกครั้งก่อนทำการติดตั้งเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้ายที่พยายามกระจายแอปพลิเคชันที่เป็นอันตรายสู่ Google Play Store

ที่มา : zdnet

Google ได้เปิดตัวแพตช์ประจำเดือนเดือนสิงหาคมสำหรับระบบปฏิบัติการ Android เพื่อแก้ไขปัญหาที่มีความรุนแรงสูงใน framework component ซึ่งหากใช้ประโยชน์จากช่องโหว่ที่ทำการเเก้ไขอาจทำให้ผู้โจมตีสามารถเรียกใช้โค้ดระยะไกล (RCE) บนอุปกรณ์มือถือ Android ได้

Google กล่าวว่าช่องโหว่ที่ได้รับการเเพตซ์ในเดือนนี้นั้นเป็นช่องโหว่ความรุนเเรงระดับสูงอยู่ 54 รายการ ซึ่งพบว่าอุปกรณ์มือถือ Android ที่ใช้ชิปของ Qualcomm มีช่องโหว่มากถึง 31 รายการ โดยช่องโหว่ที่ได้รับการเเก้ไขและมีความสำคัญเช่นช่องโหว่ CVE-2020-0240 เป็นช่องโหว่ที่อาจช่วยให้ผู้โจมตีจากระยะไกลที่ใช้ไฟล์ที่สร้างขึ้นเป็นพิเศษทำการรันโค้ดในบริบทของกระบวนการที่ไม่มีสิทธิพิเศษ เป็นต้น

ทั้งนี้ผู้ใช้งานอุปกรณ์มือถือ Android ควรทำการอัปเดตอุปกรณ์มือถือ Android ให้เป็นเวอร์ชั่นปัจจุบันเพื่อป้องกันผู้ประสงค์ร้ายหาประโยชน์จากช่องโหว่และเพื่อป้องกันข้อมูลของผู้ใช้เอง

ผู้ที่สนใจรายละเอียดการอัพเดตเพิ่มเติมสามารถติดตามรายละเอียดได้ที่: https://source.