รัฐบาลอังกฤษตรวจโค้ดในเฟิร์มแวร์ของอุปกรณ์ Huawei พบโค้ดไม่ทำตาม Secure Coding Guideline เป็นจำนวนมาก

โครงการ Huawei Cyber Security Evaluation Centre (HCSEC) ซึ่งถูกจัดตั้งขึ้นโดยรัฐบาลอังกฤษเปิดเผยความคืบหน้าล่าสุดในกระบวนการตรวจสอบโค้ดของเฟิร์มแวร์ซึ่งจะถูกใช้ในเครือข่ายโทรศัพท์ของอังกฤษประจำปี 2020 อ้างอิงจากรายการ HCSEC พบปัญหารวมไปถึงช่องโหว่มากกว่าผลลัพธ์ซึ่งเกิดขึ้นจากการตรวจสอบในครั้งก่อน

จากรายงานของ HCSEC ส่วนหนึ่งของรายงานมีการระบุว่า "พบหลักฐานซึ่งบ่งชี้่ให้เห็นว่า Huawei ยังคงไม่สามารถปฏิบัติตามข้อปฏิบัติในการเขียนโค้ดให้ปลอดภัยได้" ทั้งนี้แม้จะมีการตรวจพบปัญหาที่มากขึ้น โดยปัญหาที่ตรวจพบนั้นมีตั้งแต่ช่องโหว่ stack overflow ในส่วนของโปรแกรมที่สามารถเข้าถึงได้จากสาธารณะ การทำงานของโปรโตคอลซึ่งเมื่อถูกโจมตีแล้วอาจนำไปสู่เงื่อนไขของ DoS หรือแม้กระทั่งปัญหาที่เกิดจาก default credential

รายงานของ HCSEC ไม่ได้มีการระบุถึงการตรวจพบ "ความตั้งใจในการฝังโค้ดอันตราย" เอาไว้ในอุปกรณ์ ทั้งนี้ในแวดวง Cybersecurity นั้น การตั้งใจสร้างช่องโหว่ (bugdoor) ก็ถือเป็นการกระทำอย่างหนึ่งที่ให้ผลลัพธ์ได้เทียบเท่ากับการฝังช่องทางลับ (backdoor) ไว้ในโค้ด ผู้ที่ล่วงรู้วิธีการโจมตีช่องโหว่แบบ bugdoor อยู่ก่อนแล้วสามารถใช้ช่องโหว่ดังกล่าวในการโจมตีแและหาผลประโยชน์ได้

ผลลัพธ์ของรายงานโดย HCSEC จะถูกส่งกลับไปยัง Huawei เพื่อนำไปแก้ปัญหาต่อไป

ที่มา : theregister

SentinelOne เปิดบริการถอดรหัส ThiefQuest Ransomware ฟรีสำหรับผู้ใช้ macOS ที่ตกเป็นเหยื่อ

บริษัทด้านความปลอดภัย SentinelOne ได้มีการตรวจพบปัญหาในการกระบวนการเข้ารหัสของ ThiefQuest ซึ่งนำไปสู่การพัฒนาเครื่องมือสำหรับถอดรหัสไฟล์ที่ถูกเข้ารหัสโดยมัลแวร์ ThiefQuest สำหรับผู้ตกเป็นเหยื่อได้โดยที่ไม่ต้องจ่ายค่าไถ่

ThiefQuest Ransomware หรือชื่อเดิมคือ EvilQuest Ransomware เป็นมัลแวร์เรียกค่าไถ่ที่มุ่งเป้าหมายไปยังผู้ใช้ macOS โดยเมื่อเข้าไปในเครื่องผู้ใช้ได้แล้ว มันจะทำการติดตั้ง Keylogger ,Backdoor เพื่อทำการค้นหาการมีอยู่ของ digital wallet ของ cryptocurrency เพื่อขโมยข้อมูล รวมไปถึงเข้ารหัสไฟล์ในระบบ ในปัจจุบันการแพร่กระจายโดยส่วนใหญ่ของมัลแวร์ TheifQuest นั้นแอบแฝงมากับซอร์ฟแวร์เถื่อน

วีดีโอสอนวิธีการใช้งานเครื่องมือถอดรหัส รวมไปถึงโปรแกรมสำหรับถอดรหัสสามารถดาวน์โหลดได้ที่: https://labs.

Backdoor code found in 11 Ruby libraries

พบ backdoor ใน Ruby library
ทีมงาน RubyGems ทำการลบโค้ดอันตราย 18 เวอร์ชันบน Ruby library 11 ตัวซึ่งถูกดาวน์โหลดไปแล้วกว่า 3,584 ครั้งตั้งแต่วันที่ 8 กรกฎาคมที่ผ่านมา โดยพบว่ามีการแทรก backdoor mechanism และมีความพยายามจะแทรกโค้ด cryptocurrency mining ลงไปในโปรเจกต์ของคนอื่น
โค้ดอันตรายเหล่านี้ถูกพบครั้งแรกใน Ruby library ชื่อ rest-client จากการวิเคราะห์โดย Jan Dintel นักพัฒนา Ruby ชาวดัตช์ พบโค้ดอันตรายใน rest-client ซึ่งจะเก็บ URL, Cookie file รวมถึงตัวแปรอื่นๆ ของระบบ แล้วส่งไปยัง Remote server ในยูเครน ภายหลังการสืบสวนโดยทีมงาน RubyGems พบว่าโค้ดนี้ถูกใช้เพื่อแทรก Cryptocurrency mining code ลงไป โดยพวกเขาพบโค้ดที่ลักษณะคล้ายกันเพิ่มอีก 10 โปรเจกต์
โดย library ทั้ง 11 ตัวที่มีการแทรกโค้ดได้แก่
rest-client: 1.6.10 (ดาวน์โหลด 176 ครั้ง ตั้งแต่ สิงหาคม 13, 2019), 1.6.11 (ดาวน์โหลด 2 ครั้ง ตั้งแต่ สิงหาคม 14, 2019), 1.6.12 (ดาวน์โหลด 3 ครั้ง ตั้งแต่ สิงหาคม 14, 2019), และ 1.6.13 (ดาวน์โหลด 1,061 ครั้ง ตั้งแต่ สิงหาคม 14, 2019)
bitcoin_vanity: 4.3.3 (ดาวน์โหลด 8 ครั้ง ตั้งแต่ พฤษภาคม 12, 2019 )
lita_coin: 0.0.3 (ดาวน์โหลด 210 ครั้ง ตั้งแต่ กรกฎาคม 17, 2019)
coming-soon: 0.2.8 (ดาวน์โหลด 211 ครั้ง ตั้งแต่ กรกฎาคม 17, 2019)
omniauth_amazon: 1.0.1 (ดาวน์โหลด 193 ครั้ง ตั้งแต่ กรกฎาคม 26, 2019)
cron_parser: 0.1.4 (ดาวน์โหลด 2 ครั้ง ตั้งแต่ กรกฎาคม 8, 2019), 1.0.12 (ดาวน์โหลด 3 ครั้ง ตั้งแต่ กรกฎาคม 8, 2019), และ 1.0.13 (ดาวน์โหลด 248 ครั้ง ตั้งแต่ กรกฎาคม 8, 2019)
coin_base: 4.2.1 (ดาวน์โหลด 206 ครั้ง ตั้งแต่ กรกฎาคม 9, 2019) และ 4.2.2 (ดาวน์โหลด 218 ครั้ง ตั้งแต่ กรกฎาคม 16, 2019)
blockchain_wallet: 0.0.6 (ดาวน์โหลด 201 ครั้ง ตั้งแต่ กรกฎาคม 10, 2019) และ 0.0.7 (ดาวน์โหลด 222 ครั้ง ตั้งแต่ กรกฎาคม 16, 2019)
awesome-bot: 1.18.0 (ดาวน์โหลด 232 ครั้ง ตั้งแต่ กรกฎาคม 15, 2019)
doge-coin: 1.0.2 (ดาวน์โหลด 213 ครั้ง ตั้งแต่ กรกฎาคม 17, 2019)
capistrano-colors: 0.5.5 (ดาวน์โหลด 175 ครั้ง ตั้งแต่ สิงหาคม 1, 2019)
library ทั้งหมด ยกเว้น rest-client ถูกสร้างโดยการโคลน library แล้วไปเพิ่มโค้ดอันตรายและอัปโหลดขึ้นไปใหม่ด้วยชื่อใหม่โดยไม่มีใครจับได้เป็นเวลามากกว่าหนึ่งเดือน แต่เมื่อผู้โจมตีหันไปโจมตี rest-client ที่มีผู้ใช้งานจำนวนมากจึงทำให้ถูกจับได้
สำหรับข้อแนะนำโปรเจกต์ที่พึ่งพา library เหล่านี้ คือให้ลบออกไปหรืออัปเกรด/ดาวน์เกรดสู่ version ที่ปลอดภัยกว่า

ที่มา: zdnet

Backdoor found in Webmin, a popular web-based utility for managing Unix servers

พบ Backdoor ใน Webmin ซึ่งเป็นแอปพลิเคชันสำหรับ system administrator ในการจัดการควบคุมระบบจากระยะไกลสำหรับเครื่องที่ใช้ระบบปฏิบัติการ Unix (Linux, FreeBSD หรือ OpenBSD servers) ที่ได้รับความนิยม

Backdoor ดังกล่าวอนุญาตให้ผู้โจมตีทำการรันคำสั่งที่เป็นอันตรายได้ด้วยสิทธิ์ Root บนเครื่องที่ลง Webmin ซึ่งเมื่อยึดเครื่องที่ลง Webmin สำเร็จ ผู้โจมตีก็จะสามารถสั่งการไปยังเครื่องอื่นๆ ที่ใช้ Webmin จัดการได้อีกด้วย

แม้ว่า Webmin จะได้รับความนิยมก็ตาม แต่ backdoor ในโค้ดของ Webmin แฝงตัวอยู่ในซอร์สโค้ดของโปรเจคมานานกว่าหนึ่งปีก่อนที่นักวิจัยความปลอดภัยชาวตุรกี Özkan Mustafa Akkuş จะพบสิ่งที่เขาคิดว่าเป็นช่องโหว่บนซอร์สโค้ด Webmin ช่องโหว่นี้ยอมให้ Attackers ที่ไม่ได้ตรวจสอบสิทธิ์สามารถเรียกใช้โค้ดบนเซิฟเวอร์ที่รันแอป Webmin ได้ และนำเสนอในงาน DEF CON 27 ที่ผ่านมา

แต่จากการตรวจสอบเพิ่มเติม หนึ่งในนักพัฒนาระบบ Webmin บอกว่าช่องโหว่ไม่ได้เกิดจากการเขียนโค้ดที่ผิดพลาด แต่โค้ดอันตรายนี้ถูกแทรกมาระหว่างการ build โค้ดเป็น package

ซึ่ง Backdoor นี้พบเฉพาะใน Webmin ที่เผยแพร่บน SourceForge ไม่พบใน GitHub ซึ่งทีมงาน Webmin ไม่ได้ระบุว่าการแทรกโค้ดอันตรายเกิดจากการที่เครื่องของนักพัฒนาถูกแฮก หรือบัญชี SourceForge ถูกแฮกแล้วแฮกเกอร์อัปโหลด Webmin ที่เป็นอันตรายเข้าไปแทน

ตามการวิเคราะห์ทางเทคนิคเบื้องต้นของ Akkuş ช่องโหว่นี้อยู่บนฟีเจอร์ Password expiration สำหรับบัญชีบนเว็บที่ใช้ Webmin ซึ่งถ้าเปิดใช้ฟีเจอร์ Password expiration ผู้โจมตีสามารถส่ง HTTP request ที่มี "|" ตามด้วย shell command และรันคำสั่งที่เป็นอันตรายได้ด้วยสิทธิ Root

Webmin รุ่นที่ได้รับผลกระทบคือรุ่น 1.882 ถึง 1.921 ที่ถูกดาวน์โหลดจาก SourceForge

ข่าวดีคือใน Webmin ก่อนรุ่น 1.890 ไม่ได้เปิดฟีเจอร์ Password expiration เป็นค่าตั้งต้น แต่เพื่อความปลอดภัย ทีมงาน Webmin มีข้อแนะนำว่า

วิธีแรกเป็นแนะนำอย่างยิ่งว่าควรอัปเกรดเป็นเวอร์ชัน 1.930 ที่ลบโค้ดอันตรายออกไปแล้ว

อีกวิธีหนึ่งคือ ถ้ามีการทำงานบนเวอร์ชั่น 1.900 ถึง 1.920 ควรแก้ไข /etc/webmin/miniserv.

Microsoft warns about email spam campaign abusing Office vulnerability

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

Microsoft ได้ออกคำเตือนเกี่ยวกับแคมเปญสแปมอีเมลที่กำลังดำเนินอยู่กำลังแพร่กระจายอีเมลที่มีไฟล์ประเภท RTF(Rich Text Format) ที่มีช่องโหว่ CVE-2017-11882 ซึ่งช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดที่เป็นอันตรายโดยอัตโนมัติเมื่อผู้ได้รับอีเมลเปิดเอกสารแนบ และดูเหมือนจะกำหนดเป้าหมายไปยังผู้ใช้ชาวยุโรปเนื่องจากอีเมลเหล่านี้ถูกส่งเป็นภาษาต่างๆ ในยุโรป

โดยเมื่อไฟล์ RTF ถูกเปิดมันจะรันสคริปต์หลายประเภทที่แตกต่างกัน (VBScript, PowerShell, PHP, อื่น ๆ ) เพื่อดาวน์โหลด Payload โดย Payload สุดท้ายคือ Backdoor trojan ซึ่งผู้โจมตีไม่สามารถสั่งคำสั่งไปยัง Backdoor trojan ดังกล่าวได้แล้วเนื่องจากเซิร์ฟเวอร์ที่ถูกควบคุมถูกปิดไปแล้ว แต่ Microsoft ยังคงเตือนภัยว่าอาจมีการโจมตีในลักษณะเดียวกันโดยใช้ Backdoor trojan ตัวใหม่ได้

อย่างไรก็ตามช่องโหว่ CVE-2017-11882 ได้รับการแพตช์แล้วตั้งแต่เดือนพฤศจิกายน 2017 แนะนำให้ผู้ใช้ Windows ทุกคนติดตั้งแพตช์การรักษาความปลอดภัยสำหรับช่องโหว่นี้ เนื่องจากช่องโหว่นี้กำลังถูกใช้โจมตีอยู่บ่อยครั้ง โดยบริษัท Recorded Future ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดเป็นอันดับสามในปี 2018 และ Kaspersky ออกรายงานว่าเป็นช่องโหว่ที่ถูกใช้โจมตีมากที่สุดอันดับหนึ่งในปี 2018 รวมถึงมีการเตือนจาก FireEye ในวันที่ 5 มิถุนายน 2019 ถึงการโจมตีด้วยช่องโหว่นี้ไปยังเอเชียกลางด้วย Backdoor ตัวใหม่ที่ชื่อว่า HawkBall

ที่มา : zdnet

Windows Flaw Exploited to Deliver PowerShell Backdoor

ช่องโหว่หมายเลข CVE-2019-0859 ที่ส่งผลให้มีการเพิ่มระดับสิทธิ์ และมีการแอบฝัง PowerShell backdoor ไปยังระบบปฎิบัติการ Windows ได้ ปัจจุบันได้ถูกแก้ไขแพทช์ล่าสุดของ Microsoft และมีการอัพเดทแพทช์ ประจำเดือนเมษายน 2019 แล้ว

ทาง Kaspersky กล่าวว่าช่องโหว่นี้เกิดจากข้อผิดพลาดในการใช้งานฟรี จะถูกใช้โดยนักแสดงการคุกคามที่ไม่มีชื่อในการดำเนินการ PowerShell ซึ่งเป็นงานอัตโนมัติของ Microsoft และการจัดการการกำหนดค่าเพื่อพยายามดาวน์โหลดสคริปต์ขั้นที่สองจาก Pastebin สคริปต์ระยะที่สองนี้เรียกใช้สคริปต์อื่นที่คลายการใช้ shellcode และ shellcode สร้าง HTTP reverse shell ที่ทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์เป้าหมายได้อย่างสมบูรณ์ ส่วนใหญ่จะถูกโจมตีสำหรับ Windows รุ่น 64 บิต (ตั้งแต่ Windows 7 ไปจนถึงรุ่นเก่ากว่าของ Windows 10) และใช้ประโยชน์จากช่องโหว่โดยใช้เทคนิค HMValidateHandle ที่รู้จักกันดีในการเลี่ยง ASLR

ส่วนช่องโหว่อื่นๆของ Windows เช่น (CVE-2019-0803) ที่คล้ายกับช่องโหว่ที่ระบุโดย Kaspersky นั้นได้รับการแก้ไขในเดือนนี้โดย Microsoft ข้อบกพร่องดังกล่าวซึ่งรายงานโดย บริษัท Donghai Zhu ของทีมรักษาความปลอดภัยข่าวกรอง Cloud ของ Alibaba ก็ถูกนำไปใช้เช่นกัน แต่ก็ไม่มีรายละเอียดใด ๆ เกี่ยวกับการโจมตี

ที่มา: www.

Hacker backdoors popular JavaScript library to steal Bitcoin funds

แฮกเกอร์ได้สิทธิ์ในการเข้าถึง JavaScript library ที่เป็นที่นิยมและทำการส่งโค้ดอันตรายเพื่อขโมยเงิน Bitcoin

Event-Stream 3.3.6 เป็นแพคเกจใน npm ของ JavaScript ทำงานกับข้อมูลสตรีม Node.

ใช้ของฟรีระวังของแถม! แฉเทคนิคฝัง Backdoor กับไฟล์คอนฟิก OpenVPN

สวัสดีครับหลังจากห่างหายกันไปนานวันนี้เราจะมาพูดถึงเทคนิคใหม่ในการฝังแบ็คดอร์ไว้ในไฟล์ตั้งค่าของโปรแกรม OpenVPN ซึ่งถูกค้นพบโดย Jacob Baines จาก Tenable Security กันครับ
อะไรคือแบ็คดอร์ประเภท Reverse Shell?
แบ็คดอร์ประเภท Reverse Shell เป็นแบ็คดอร์ที่เมื่อมีการติดตั้งลงบนเครื่องเป้าหมายแล้ว โปรแกรมของแบ็คดอร์จะมีการติดต่อกลับมายังเซิร์ฟเวอร์ตามหมายเลขไอพีแอดเดรสและพอร์ตที่เรากำหนดไว้กับโปรแกรมของแบ็คดอร์ ซึ่งจะแตกต่างกับแบ็คดอร์อีกประเภทหนึ่งคือ Bind Shell ที่จะฝังตัวและรอรับการเชื่อมต่อเข้ามาที่โปรแกรมของแบ็คดอร์อย่างเดียว

แบ็คดอร์ประเภท Reverse Shell ได้รับความนิยมสูงเนื่องจากโดยทั่วไปการตั้งค่าด้านความปลอดภัยนั้นมักจะไม่อนุญาตให้มีการเชื่อมต่อที่ไม่ได้รับอนุญาตเข้ามาในเครือข่ายแต่มักจะหละหลวมในการตั้งค่าการเชื่อมต่อในขาออกจากเครือข่าย ทำให้แบ็คดอร์ประเภท Reverse Shell นั้นถูกเลือกใช้บ่อยครั้งกว่าแบ็คดอร์แบบ Bind Shell
แก้ไขไฟล์ OVPN เพื่อฝังแบ็คดอร์
โปรแกรม OpenVPN นั้นจะถูกกำหนดการใช้งานในแต่ละครั้งด้วยไฟล์ตั้งค่าซึ่งใช้นามสกุลของไฟล์คือ OVPN โดยภายในไฟล์ OVPN นั้นจะมีการเก็บการตั้งค่าของการเชื่อมต่อเพื่อสร้างการเชื่อมต่อไปยังเซิร์ฟเวอร์ VPN เอาไว้

นักวิจัยด้านความปลอดภัยจาก Tenable Security “Jacob Baines” ค้นพบว่าโปรแกรม OpenVPN จะทำการรันหรือเอ็กซีคิวต์คำสั่งใดๆ ที่ต่อท้ายฟิลด์ “up” ซึ่งเป็นฟิลด์การตั้งค่าหนึ่งตามรูปแบบของ OVPN ดังนั้นหากมีการแก้ไขไฟล์ OVPN โดยการเพิ่มคำสั่งอันตรายต่อท้ายฟิลด์ “up” ผู้ใช้งานก็จะมีการรันคำสั่งที่เป็นอันตรายดังกล่าวทันทีเมื่อพยายามเชื่อมต่อ VPN

โดยทั่วไปไฟล์ตั้งค่า OVPN นั้นจะประกอบด้วยข้อมูลภายในดังต่อไปนี้ (ข้อมูลในไฟล์ OVPN อาจแตกต่างกันตามลักษณะการเชื่อมต่อ)

การตั้งค่าในแต่ละบรรทัดมีความหมายดังต่อไปนี้

remote test.

US-CERT warns of more North Korean malware

US-CERT ประกาศแจ้งเตือนล่าสุดเกี่ยวกับมัลแวร์ "Typeframe" ซึ่งเชื่อกันว่ามีส่วนเกี่ยวข้องกับกลุ่มแฮกเกอร์สัญชาติเกาหลีเหนือ HIDDEN COBRA หรือ Lazarus Group
ในประกาศของ US-CERT เกี่ยวกับมัลแวร์ Typeframe มีการเผยแพร่ตัวอย่างของมัลแวร์มาทั้งหมด 11 รายการ ซึ่งประกอบมัลแวร์ทั้งในรูปแบบ 32 บิตและ 64 บิต จากลักษณะเบื้องต้นของมัลแวร์นั้นทำให้สามารถสันนิษฐานว่าเป็นมัลแวร์ที่ช่วยให้ผู้โจมตีสามารถควบคุมเป้าหมายได้จากระยะไกลได้ พร้อมฟังก์ชัน backdoor

Recommendation
ผู้ดูแลระบบควรดำเนินการตรวจสอบทราฟิกรวมไปถึงบล็อคทราฟิกที่มีปลายทางไปยังหมายเลขไอพีแอดเดรสซึ่งเป็นเซิร์ฟเวอร์สำหรับออกคำสั่งและควบคุม ทั้งนี้แนะนำให้ผู้ดูแลระบบตรวจสอบประกาศของ US-CERT และดำเนินการเพิ่มเติมตามขั้นตอนที่มีระบุไว้ในประกาศด้วย
รายการเซิร์ฟเวอร์ที่ใช้ออกคำสั่งและควบคุม:
- 111.207.78[.]204
- 181.119.19[.]56
- 184.107.209[.]2
- 59.90.93[.]97
- 80.91.118[.]45
- 81.0.213[.]173
- 98.101.211[.]162
ที่มา: theregister

ZNIU, the first Android malware family to exploit the Dirty COW vulnerability

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Trend Micro ได้พบมัลแวร์ Android รุ่นใหม่ชื่อว่า ZNIU ที่ใช้ประโยชน์จากช่องโหว่ Dirty COW ซึ่งเป็นช่องโหว่บน Linux kernel โดยช่องโหว่นี้จะทำให้ผู้ใช้ที่มีสิทธิ์อ่านไฟล์ สามารถมีสิทธิ์เขียนไฟล์ด้วย ถึงแม้ว่าไฟล์นั้นต้องการสิทธิ์ของ root ในการเขียนก็ตาม รวมถึงสามารถสั่ง setuid ไฟล์นั้นเพื่อให้ถูกรันด้วยสิทธิ์ของ root ได้ด้วย

มัลแวร์ ZNIU ถูกตรวจพบแล้วในกว่า 40 ประเทศทั่วโลกเมื่อเดือนที่แล้ว และพบว่ามี Application มากกว่า 1200 รายการ ที่มีการติดต่อไปยังเวปไซต์ที่คาดว่าเกี่ยวข้องกับมัลแวร์ตัวนี้ โดยจะพบใน Application สำหรับผู้ใหญ่(Porn Application) มากที่สุด Application เหล่านี้จะมีการใช้งาน rootkit เพื่อใช้ในการโจมตีผ่านช่องโหว่ Dirty COW ผู้เชี่ยวชาญกล่าวว่า Code ที่ใช้ในการโจมตีจะทำงานได้เฉพาะกับอุปกรณ์แอนดรอยด์ที่ใช้สถาปัตยกรรม ARM/X86 64 บิตเท่านั้น และสามารถเจาะเข้าไปเพื่อทำการสร้าง backdoor บน SELinux ได้ เมื่อมีการติดตั้ง Application เรียบร้อยแล้ว จะมีการเรียกไปยังเวปไซต์ที่เป็นอันตราย เพื่อทำการดาวน์โหลด rootkit มาลงบนเครื่อง จากนั้นจึงทำการเพิ่มสิทธิ์ตัวเองให้เป็น root และจะมีการสร้าง backdoor ขึ้นมา ทั้งนี้พบว่า Domain และ Server ในการส่งคำสั่งและการควบคุมมัลแวร์อยู่ในประเทศจีน นอกเหนือจากนี้ยังพบว่ามัลแวร์มีพฤติกรรมหลอกลวงเพื่อหาเงินผ่านการใช้ SMS-enabled payment service ซึ่งเป็นบริการที่สามารถใช้ได้ในประเทศจีนเท่านั้น

ทั้งนี้ผู้ใช้งานควรเลือกติดตั้ง Application ที่มาจาก Google Play หรือ third-party ที่น่าเชื่อถือเท่านั้น หรือลง Application ที่ช่วยเรื่องความปลอดภัยบนมือถือที่ใช้งาน

ที่มา:securityaffairs