Google แบนบัญชีนักพัฒนาซอฟต์แวร์ 173,000 บัญชี เพื่อบล็อกการทำงานของมัลแวร์

Google ระบุว่าในปี 2565 ได้แบนบัญชีนักพัฒนาซอฟต์แวร์กว่า 173,000 บัญชี เพื่อบล็อกการทำงานของมัลแวร์จากอุปกรณ์ของผู้ใช้ Android ด้วยแอปพลิเคชันที่เป็นอันตราย โดย Google เปิดเผยในรายงานประจำปี ‘แอปพลิเคชันที่เป็นอันตราย’ ว่า ยังได้ทำการป้องกันแอปเกือบ 1.5 ล้านแอปที่เชื่อมโยงกับการละเมิดนโยบายด้านต่าง ๆ ไม่ให้สามารถเข้าสู่ Google Play Store ได้ (more…)

แฮ็กเกอร์หันมาใช้ Android Loaders บน Dark Web เพื่อใช้หลบเลี่ยงการตรวจสอบของ Google Play Security

มัลแวร์แอปพลิเคชัน ที่สามารถทำตัวเป็นโทรจันบน Android กำลังถูกซื้อขายกันในเว็บไซต์ใต้ดินในราคาสูงถึง 20,000 ดอลลาร์ เพื่อใช้ในการหลบเลี่ยงการป้องกันของ Google Play Store

Kaspersky ระบุในรายงานฉบับใหม่ว่า ประเภทของแอปพลิเคชันที่ได้รับความนิยมสูงสุดในการซ่อนมัลแวร์ และซอฟต์แวร์ที่เป็นอันตราย ได้แก่ แอปพลิเคชันประเภท cryptocurrency, แอปพลิเคชันทางการเงิน, แอปพลิเคชันที่ใช้สแกน QR code และแอปพลิเคชันหาคู่ (Dating) (more…)

Trojan app บน Google Play Store ขโมย Facebook Credentials จากผู้ใช้ Android ไปแล้วกว่า 3 แสนราย

นักวิจัยด้านความปลอดภัย Nipun Gupta และ Aazim Bill SE Yaswant พบ Trojan App ที่ชื่อว่า Schoolyard Bully Trojan บน Google Play Store โดยมียอดผู้ดาวน์โหลดแอปดังกล่าวไปแล้วกว่า 3 แสน รายใน 71 ประเทศ ซึ่งปัจจุบันได้ถูกถอดจาก Google Play Store ไปแล้ว แต่ก็ยังมีเผยแพร่อยู่บน 3rd party อื่น ๆ เช่น Telegram หรือ Whatsapp เป็นต้น

ลักษณะการทำงาน

Trojan ได้ถูกออกแบบมาเพื่อขโมย Facebook credentials เป็นหลัก โดยจะปลอมเป็นแอปพลิเคชั่นสำหรับการศึกษาที่ดูใช้งานได้ตามปกติ หรือแอปสำหรับอ่านนิยายออนไลน์เพื่อหลอกล่อให้เหยื่อดาวน์โหลดมาโดยไม่เกิดความสงสัย

ซึ่งหลังจากที่เหยื่อมีการโหลดมาแอปมาติดตั้งไว้บนเครื่องแล้วจะมีการหลอกล่อเหยื่อให้เปิดหน้าใช้งานเข้าสู่ระบบของ Facebook ใน WebView ซึ่งภายในหน้าเว็บนั้นจะมีการฝัง JavaScript ที่มีความสามารถในการขโมยข้อมูลจำพวก เบอร์โทรศัพท์ อีเมล และรหัสผ่านของผู้ใช้ ส่งไปยัง Command-and-control (C2) ที่ถูกกำหนดไว้ของผู้โจมตี

นอกจากนี้ Schoolyard Bully Trojan ยังมีความสามารถในการใช้ประโยชน์จาก native libraries เช่น libabc.

มัลแวร์ SharkBot ปลอมตัวเป็นโปรแกรมป้องกันไวรัสบน Android ใน Google Play Store

มัลแวร์ SharkBot ได้แทรกซึมเข้าไปอยู่ใน Google Play Store โดยปลอมตัวเป็นโปรแกรมป้องกันไวรัส

แม้ว่าตัวแอปยังไม่เป็นที่นิยม หรือถูกดาวน์โหลดไปมากนัก แต่การที่ตัวแอปยังสามารถอยู่บน Play Store ได้ แสดงให้เห็นว่าผู้เผยแพร่มัลแวร์ยังคงสามารถหลบเลี่ยงการตรวจจับของ Google ได้เป็นอย่างดีจนถึงปัจจุบัน

แอพพลิเคชั่นบน Android ที่จริง ๆ แล้วคือ SharkBot

รายละเอียดผู้เผยแพร่บน Play Store

SharkBot สามารถทำอะไรได้บ้าง?

มัลแวร์ดังกล่าวถูกค้นพบครั้งแรกโดย Cleafy ในเดือนตุลาคม 2564 โดยฟีเจอร์ที่สำคัญที่สุด ที่ทำให้แตกต่างจาก Banking Trojan อื่น ๆ คือการโอนเงินผ่านระบบโอนอัตโนมัติ (ATS) บนอุปกรณ์ที่ถูกควบคุม

(more…)

Google ได้ทำการลบแอปพลิเคชันสองรายการของ Baidu หลังถูกรายงานว่ามีโค้ดที่รวบรวมข้อมูลเกี่ยวกับผู้ใช้

Google ได้ทำการลบแอปพลิเคชันสองแอปของ Baidu ยักษ์ใหญ่ด้านเทคโนโลยีของจีนออกจาก Google Play Store เมื่อปลายเดือนตุลาคม หลังจากได้รับรายงานว่าแอปทั้งสองมีโค้ดที่รวบรวมข้อมูลเกี่ยวกับผู้ใช้

การลบแอปพลิเคชันเกิดขึ้นหลังจาก Stefan Achleitner และ Chengcheng Xu นักวิจัย Palo Alto Networks ได้ทำการรายงานปัญหาไปยังทีมรักษาความปลอดภัยของ Google Play Store หลังจากที่พวกเขาทำการพบโค้ดที่รวบรวมข้อมูลเกี่ยวกับผู้ใช้ในแอปพลิเคชัน Baidu Maps และ Baidu Search Box ของ Baidu โดยโค้ดที่ทำการรวบรวมข้อมูลของผู้ใช้นั้นอยู่ใน Baidu Push SDK ซึ่งโมดูที่ถูกใช้เพื่อแสดงการแจ้งเตือนแบบเรียลไทม์ภายในแอปทั้งสอง ซึ่งภายโค้ดมีการรวบรวมรายละเอียดของผู้ใช้ เช่นรุ่นโทรศัพท์, MAC address, ข้อมูลผู้ให้บริการและหมายเลข IMSI (International Mobile Subscriber Identity)

นักวิจัยกล่าวว่าแม้ว่าข้อมูลที่ทำการรวบรวมไว้บางส่วนจะค่อนข้างไม่เป็นอันตราย แต่ข้อมูลบางอย่างเช่นรหัส IMSI สามารถใช้เพื่อระบุและติดตามผู้ใช้ได้โดยแม้ว่าผู้ใช้รายนั้นจะเปลี่ยนไปใช้โทรศัพท์เครื่องอื่นก็ตาม

ทั้งนี้โฆษกของ Baidu ได้ออกมากล่าวว่าบริษัทได้รับอนุญาตจากผู้ใช้ในการรวบรวมข้อมูลนี้จากผู้ใช้ ซึ่งพฤติกรรมการรวบรวมข้อมูลของแอปพลิเคชันไม่ใช่สาเหตุที่แอปทั้งสองถูกนำออกจาก Play Store และแอพทั้งสองมีการดาวน์โหลดมากกว่า 6 ล้านครั้งก่อนที่จะถูกลบออก อย่างไรก็ดีทางทีม Baidu กำลังดำเนินการแก้ไขปัญหาดังกล่าว

ที่มา: zdnet.

Google ลบแอปพลิเคชันที่มีมัลแวร์แอบแฝงออกจาก Google Play Store

Google ได้ทำการลบแอปพลิเคชัน Android 15 จาก 21 รายการออกจาก Play Store หลังได้รับรายงานว่าแอปพลิเคชันที่ถูกรายงานเป็นแอปพลิเคชั่นที่มีการแอบแฝงมัลแวร์ประเภท “HiddenAds” ที่จะทำงานโดยการแสดงโฆษณาระหว่างใช้งานแอปพลิเคชันที่มากเกินไป

จากรายงานที่มีการเผยเเพร่โดย Jakub Vávra นักวิเคราะห์มัลแวร์จากบริษัท Avast ระบุว่าแอปพลิเคชันที่ตรวจพบได้มีการปลอมตัวเป็นแอปพลิเคชันเกมที่ไม่เป็นอันตรายและมาพร้อมกับมัลแวร์ HiddenAds ซึ่งเป็นโทรจันที่มีชื่อเสียงในเรื่องความสามารถในการแสดงโฆษณาที่ล่วงล้ำการใช้งานของผู้ใช้

กลุ่มที่อยู่เบื้องหลังการดำเนินการนี้จะอาศัยช่องทางโซเชียลมีเดียเพื่อล่อให้ผู้ใช้ดาวน์โหลดแอปพลิเคชันไปติดตั้ง เมื่อทำการติดตั้งแอปพลิเคชันแล้วมัลแวร์ HiddenAds ที่อยู่ภายในแอปจะซ่อนไอคอนของแอปเพื่อทำให้ผู้ใช้ลบแอปได้ยากในอนาคตแล้วจากนั้นจึงเริ่มโจมตีผู้ใช้ด้วยแสดงโฆษณา ซึ่งแอปพลิเคชันที่กล่าวมาถูกดาวน์โหลดโดยผู้ใช้มากกว่าเจ็ดล้านคน ก่อนที่นักวิเคราะห์จะทำการรายงานต่อ Google เมื่อสัปดาห์ที่แล้ว

ผู้ใช้ต้องระมัดระวังในการดาวน์โหลดแอปพลิเคชันลงในโทรศัพท์ของตนและก่อนจะทำการติดตั้งแอปพลิเคชันใดๆ ควรทำการตรวจสอบโปรไฟล์ของแอปพลิเคชัน, คอมเมนต์, รีวิวและการอนุญาตในการติดตั้งบนอุปกรณ์อย่างละเอียดเพื่อเป็นการป้องกันการตกเป็นเหยื่อ ทั้งนี้ผู้ที่สนใจรายการแอปพลิเคชันที่ถูกลบหรือต้องการรายชื่อแอปพลิเคชันเพื่อทำการตรวจสอบสามารถดูรายการได้จากเเหล่งที่มา

ที่มา: zdnet.

Google Play apps promised free shoes, but users got ad fraud malware instead

Google ลบแอปพลิเคชันจำนวน 56 รายการที่แฝงมัลเเวร์ออกจาก Google Play Store

Google ดำเนินการลบแอปพลิเคชัน 56 รายการออกจาก Google Play Store หลังถูกระบุว่ามีบ็อตเน็ต Terracotta แฝงอยู่ในแอปพลิเคชัน อ้างอิงจากการวิจัยโดย White Ops ที่ได้ทำการติดตามการเคลื่อนไหวตั้งเเต่ปลายปี 2019

พฤติกรรมของ Terracotta คือการหลอกผ่านโฆษณาแอปให้ติดตั้งแอปอันตรายเพิ่มเพื่อแลกกับการได้รางวัล โดยแอปอันตรายที่จะถูกติดตั้งหากผู้ใช้หลงเชื่อนั้นจะแฝงฟังก์ชันในการโหลดโฆษณาเพื่อแอบหารายได้เอาไว้

จากรายงานของ WhiteOps ที่ออกในเดือนมิถุนายน 2020 นั้นพบว่ามีผู้ตกเป็นเหยื่อถูกทำให้โหลดโฆษณาที่ทำการซ่อนไว้มากกว่าสองพันล้านรายการจากจำนวนมากกว่า 65,000 เครื่องและมีแอปมากกว่า 5,000 แอปพลิเคชันที่ทำการเเฝง Terracotta ไว้

ผู้ใช้งาน Android ควรทำการตรวจสอบแอปพลิเคชันที่ทำการดาวน์โหลดทุกครั้งก่อนทำการติดตั้งเพื่อป้องกันการตกเป็นเหยื่อของผู้ประสงค์ร้ายที่พยายามกระจายแอปพลิเคชันที่เป็นอันตรายสู่ Google Play Store

ที่มา : zdnet

Android App Devs Find Clever Trick for Fooling Users Into Installing Their Crapware

ผู้เชี่ยวชาญด้านความปลอดภัยของ Android กำลังเตือนผู้ใช้ว่า มีนักพัฒนาแอนดรอยด์บางคนหลอกล่อให้ผู้ใช้ติดตั้งแอปของตนโดยการลงทะเบียนบัญชีนักพัฒนาซอฟต์แวร์ Google Play Store เป็นจำนวนการ installs เช่น "1 million installs," Installs 1,000,000," "100,000,000 Downloads," "5,000,000+," "1,000,000,000" และอื่นๆที่รูปแบบคล้ายกัน ทำให้ผู้ใช้งานเผลอติดตั้งแอปผิดพลาดอย่างไม่ได้ตั้งใจ

เทคนิคนี้เป็นวิธีที่ง่าย แต่มีประสิทธิภาพในการทำให้ผู้ใช้เข้าใจผิดโดยเฉพาะอย่างยิ่งผู้ที่เลือกแอปตามความนิยม แม้แอปเหล่านี้จะไม่มีอันตราย แต่ก็อาจถูกใช้แพร่เชื้อมัลแวร์ในอนาคตได้อย่างง่ายดาย โชคดีที่เทคนิคนี้ยังง่ายต่อการตรวจสอบหากผู้ใช้ระวังในใช้ Google Play Store นักวิจัยมัลแวร์จาก ESET "Lukas Stefanko" ออกมาเปิดเผยเทคนิคใหม่ที่ผู้พัฒนามัลแวร์บนแอนดรอยด์ใช้เพื่อหลอกผู้ใช้ว่าแอปมีความน่าเชื่อถือ โดยมีจุดประสงค์เพื่อให้ผู้ใช้หลงเชื่อและติดตั้งแอปที่เป็นมัลแวร์

เทคนิคนี้อาศัยการสมัครบัญชีสำหรับนักพัฒนาแอปที่สามารถส่งแอปขึ้นไปบน Google Play Store ได้ โดยแทนที่จะใส่ชื่อของนักพัฒนาแอปจริงๆ ลงไปในบัญชี ผู้ร้ายจะทำการเปลี่ยนชื่อเป็น "1 million installs," Installs 1,000,000," "100,000,000 Downloads," "5,000,000+," "1,000,000,000" แทน ซึ่งเมื่อแอปถูกนำขึ้น Google Play Store ในส่วนของชื่อของผู้พัฒนาแอปจะถูกแทนที่ด้วยคำในลักษณะนี้ และทำให้ผู้ใช้งานหลงเชื่อว่าเป็นแอปจริงได้

สิ่งที่ต้องคำนึงถึง เมื่อติดตั้งแอป
- Google จะใส่ข้อมูลที่เป็นทางการในช่องพิเศษบนหน้า Play สโตร์ของแอปเท่านั้น
- หมายเลขจำนวนการ install ของ Google จะปรากฏในส่วน "ข้อมูลเพิ่มเติม" ที่ด้านล่างของหน้า Play สโตร์ของแต่ละแอป
- หากจำนวนการ install มีน้อย แต่ผู้พัฒนาอ้างเหตุผลต่างๆนาๆที่ไม่ชอบมาพากล แอปจะเป็นอันตรายอย่างเห็นได้ชัด
- Google Play ไม่มีป้าย "Verified" ดังนั้นอย่าเชื่อว่านักพัฒนาแอปอาจอ้างสิทธิ์ในไอคอนแอปของตน
- อ่านบทวิจารณ์ของผู้ใช้ก่อนดาวน์โหลดแอปทุกครั้ง ผู้ใช้งานควรตรวจสอบที่มาของแอปอย่างถี่ถ้วนทุกครั้งก่อนติดตั้งแอปใดๆ และควรสังเกตความผิดปกติของแอป เช่น โลโก้, คอมเมนต์รีวิว หรือชื่อของผู้พัฒนาก่อนที่จะติดตั้งแอปเสมอ

ที่มา : bleepingcomputer

New adware attack bombard phones & prevent users from disabling ads

นักวิจัยจาก Check Point พบ Adware ตัวใหม่ที่เรียกว่า LightsOut ในแอพพลิเคชั่นอย่างน้อย 22 รายการ บน Google Play Store ขณะนี้แอพพลิเคชั่นเหล่านี้ถูกนำออกไปเรียบร้อยแล้ว แต่พบว่ามีการดาวน์โหลดไปแล้วอย่างน้อย 1.5 ล้านครั้ง

แอพพลิเคชั่นเหล่านี้จะมีการฝังสคริปท์ที่เป็นอันตราย เมื่อมีความพยายามที่จะกำหนดค่าเพื่อให้หยุดการแสดงโฆษณาดังกล่าว จะทำให้สคริปท์ที่ฝังไว้ทำงาน และไอคอนของแอพพลิเคชั่นจะถูกซ่อนไว้เพื่อป้องกันการถูกลบจากอุปกรณ์ นักวิจัยของ Check Point ได้มีวิดีโอเพื่อแสดงให้เห็นถึงวิธีการต่างๆที่ทำให้มัลแวร์ตัวนี้เปิดโฆษณาขึ้นมาบนมือถือ เช่น หลังจากวางสาย, การปลดล็อกหน้าจอ, การชาร์จ หรือการเปิดใช้งาน Wi-Fi

Check Point ได้มีการเปิดเผยมัลแวร์ตัวนี้ผ่านบล็อกของตัวเองเมื่อวันที่ 5 มกราคม และแนะนำให้เลือกดาวน์โหลดแอพพลิเคชันที่น่าเชื่อถือเท่านั้น รวมถึงแนะนำให้ติดตั้งซอฟต์แวร์ป้องกันไวรัสบนมือถือ

ที่มา : hackread

Coinhive Miners Found in Android Apps, WordPress Sites

ต่อเนื่องจากข่าวมัลแวร์ที่รันสคริปต์ขุดเหมืองบนบราวเซอร์ ในช่วงสัปดาห์ที่ผ่านมา และล่าสุดที่พบแอพพลิเคชัน
บน Google Play Store ของแอนดรอยด์("Recitiamo Santo Rosario Free" และ "SafetyNet Wireless App") โดยพบครั้งแรกเป็นการติดตั้งบนส่วนหนึ่งของ botnet บนเว็บไซต์ WordPress ที่ถูกแฮ็ก
เนื่องจากปัจจุบันมีผู้คนจำนวนมากบนตลาดการขุดเหมือง Coinhive จึงเป็นตัวเลือกที่ถูกใช้อันดับต้นๆ ของผู้ไม่หวังดี ดังที่เราได้เห็นว่ามีการเปิดตัวบริการที่ชื่อว่า "WhoRunsCoinhive" ออกมา ผู้ใช้งานคอมพิวเตอร์ส่วนใหญ่สามารถติดตั้งและใช้โปรแกรมป้องกันโฆษณาหรือโปรแกรมป้องกันไวรัสที่สามารถบล็อกสคริปส์เหล่านี้ได้ แต่ผู้ใช้งานมือถือส่วนใหญ่ไม่มีการติดตั้งโปรแกรมดังกล่าว Trend Micro ซึ่งได้ค้นพบแอพพลิเคชันสองตัวที่มีสคริปส์การขุดเหมือง Coinhive โดยทั้งสองแอพพลิเคชันจะซ่อนสคริปส์ของ Coinhive อยู่ใน WebView ของเบราว์เซอร์ และจะทำงานเมื่อมีการเปิดใช้งานแอพ โดยปัญหาคือแอพจะไม่มีการร้องขอสิทธิ์ในการทำงาน และการขุดเหมืองที่เกิดขึ้นส่งผลให้อุปกรณ์มือถือร้อนขึ้น, ทำให้อายุการใช้งานแบตเตอรี่ลดลง, ประสิทธิภาพการทำงานของเครื่องลดลง, รวมถึงการสึกหรอโดยทั่วไปของอุปกรณ์มือถือ
นอกเหนือจากแอพพลิเคชันที่เป็นอันตรายแล้ว สัปดาห์ที่ผ่านมาผู้ให้บริการ WordPress WAF เช่น Sucuri และ Wordfence เตือนว่าได้พบการเพิ่มจำนวนของเว็บไซต์ที่ถูกแฮ็กเพื่อใช้ในการขุดเหมืองโดยเฉพาะการใช้สคริปส์จาก Coinhive นอกจากนี้ยังได้ตรวจพบแอพพลิเคชันใน Play Store ที่ชื่อว่า "Car Wallpaper HD: mercedes, ferrari, bmw and audi" อีกตัว โดยจะใช้ cryptocurrency miner ที่ซ่อนอยู่ในไลบารี ซึ่งแตกต่างกับแอพพลิเคชันสองตัวแรกที่กล่าวถึง แอพนี้ไม่ได้ทำงานในเบราว์เซอร์ แต่จะใช้งานไลบรารี CpuMiner ที่สามารถทำงานได้โดยไม่จำเป็นต้องเปิดเบราว์เซอร์ ทาง Microsoft เองก็ได้ออกมาเตือนเกี่ยวกับโดเมน cryptocurrency mining 185 [.] 14 [.] 28 [.] 10 เช่นเดียวกัน
ทั้งนี้แนะนำผู้ใช้งานควรหลีกเลี่ยงแอพพลิเคชั่นที่ไม่น่าเชื่อถือ และหมั่นสังเกตสัญญาณการใช้งานที่ดูผิดปกติ เช่น เครื่องร้อนกว่าปกติหลังการลงแอพพลิเคชั่นใหม่บนเครื่อง หรือแบตเตอรี่ลดลงเร็วกว่าปกติ เป็นต้น

ที่มา : Bleepingcomputer