Checkpoint ได้ทำการสำรวจ Google Play Store พบ Android Application ที่มีการแฝงโฆษณาจาก Server ของผู้ผลิตเพื่อให้ผู้ใช้งานกด link โฆษณาโดยไม่รู้ตัว
Checkpoint พบ Android Application ทั้งหมด 41 ตัวที่ถูกผลิตโดยบริษัทพัฒนา Application ของเกาหลีที่ชื่อว่า Kiniwini (ชื่อที่ใช้ใน Google Play Store คือ ENISTUDIO Corp) โดยใน Android Application เหล่านั้นจะมี program ที่ชื่อว่า Judy ฝังอยู่ ซึ่งตัว Android Application ที่เอาขึ้น Google Play Store นั้นจะไม่มี malicious code แต่อย่างใด ทำให้ผ่านการตรวจสอบของ Google Play Store ไปได้ แต่หลังจากที่ทำการติดตั้ง Android Application นี้ไปแล้ว ตัว Application จะทำการติดต่อไปยัง Command & Control Server และได้รับ Javascript code ที่เป็นอันตรายกลับมาแทน
"Android Application จะเปิด URL โดยใช้ user-agent เป็น PC เปิด webpage แบบซ่อน จากนั้นก็จะถูก redirect ไปยังเว็บไซด์อื่น เมื่อไปยังเว็บไซด์ได้สำเร็จตัว Javascript ก็จะทำการตรวจสอบ banner ในเพจแล้วทำการ click ให้โดยอัตโนมัติ
List Application ที่ทาง Checkpoint พบว่ามาจากบริษัทดังกล่าวมีดังนี้
Fashion Judy: Snow Queen style
Animal Judy: Persian cat care
Fashion Judy: Pretty rapper
Fashion Judy: Teacher style
Animal Judy: Dragon care
Chef Judy: Halloween Cookies
Fashion Judy: Wedding Party
Animal Judy: Teddy Bear care
Fashion Judy: Bunny Girl Style
Fashion Judy: Frozen Princess
Chef Judy: Triangular Kimbap
Chef Judy: Udong Maker – Cook
Fashion Judy: Uniform style
Animal Judy: Rabbit care
Fashion Judy: Vampire style
Animal Judy: Nine-Tailed Fox
Chef Judy: Jelly Maker – Cook
Chef Judy: Chicken Maker
Animal Judy: Sea otter care
Animal Judy: Elephant care
Judy’s Happy House
Chef Judy: Hotdog Maker – Cook
Chef Judy: Birthday Food Maker
Fashion Judy: Wedding day
Fashion Judy: Waitress style
Chef Judy: Character Lunch
Chef Judy: Picnic Lunch Maker
Animal Judy: Rudolph care
Judy’s Hospital: Pediatrics
Fashion Judy: Country style
Animal Judy: Feral Cat care
Fashion Judy: Twice Style
Fashion Judy: Myth Style
Animal Judy: Fennec Fox care
Animal Judy: Dog care
Fashion Judy: Couple Style
Animal Judy: Cat care
Fashion Judy: Halloween style
Fashion Judy: EXO Style
Chef Judy: Dalgona Maker
Chef Judy: ServiceStation Food
Judy’s Spa Salon
หากใครพบว่าลงไว้ก็แนะนำให้ทำการถอนการติดตั้ง

ที่มา: thehackernews

บริษัท Trend Micro แจ้งเตือนการค้นพบมัลแวร์ชื่อ “Godless” โผล่ให้ดาวน์โหลดบน Google Play Store โดยมัลแวร์นี้มีความสามารถในการ root เครื่องเพื่อให้ได้สิทธิการทำงานที่มากกว่าปกติและฝังอยู่ในเครื่องไปตลอดไม่สามารถลบออกได้ มีรายงานผู้ใช้ในไทยตกเป็นเหยื่อของมัลแวร์นี้แล้ว

ในทางเทคนิค มัลแวร์ Godless ใช้ช่องโหว่ของระบบปฏิบัติการ Android จำนวน 2 จุดเพื่อให้ได้สิทธิของ root โดยช่องโหว่ที่ใช้คือ CVE-2015-3636 (PingPongRoot) และ CVE-2014-3153 (Towelroot) ทำให้เครื่องที่ใช้งานระบบปฏิบัติการ Android 5.1 หรือต่ำกว่า สามารถถูกโจมตีได้

ทาง Trend Micro พบแอพพลิเคชั่นอันตรายจำนวนหนึ่งบน Google Play Store ที่มีโค้ดของมัลแวร์ Godless โดยใช้วิธีการหลอกว่าเป็นแอพพลิเคชั่นที่ดูเหมือนไม่มีอันตราย เมื่อผู้ใช้หลงเชื่อติดตั้งแอพพลิเคชั่นเหล่านี้ จะถูก root เครื่องเพื่อฝังแอพพลิเคชั่นมัลแวร์เข้าไปเป็นส่วนหนึ่งของระบบ รวมถึงดาวน์โหลดแอพพลิเคชั่นมัลแวร์อื่นๆ มาติดตั้งลงในเครื่องเพื่อแสดงโฆษณาไม่พึงประสงค์
จากสถิติของ Trend Micro พบว่ามีอุปกรณ์ที่ติดมัลแวร์นี้กว่า 850,000 เครื่องทั่วโลก โดยมากกว่า 45% เป็นผู้ใช้ในอินเดีย ส่วนผู้ใช้ในประเทศไทยติดมัลแวร์นี้มากเป็นอันดับ 3 ของโลก

วิธีการแก้ไขหากติดมัลแวร์ที่มีความสามารถในการ root เครื่อง ผู้ใช้ควรสำรองข้อมูลสำคัญ และติดต่อศูนย์บริการเพื่อติดตั้งเฟิร์มแวร์ที่มาจากโรงงาน รวมถึงอาจพิจารณา factory reset อุปกรณ์เพื่อล้างข้อมูลทั้งหมด

สำหรับวิธีการป้องกัน ผู้ใช้ควรพิจารณาความน่าเชื่อถือของผู้พัฒนาแอพพลิเคชั่น ตรวจสอบคะแนนรีวิว รวมถึงอาจพิจารณาติดตั้งโปรแกรมแอนติไวรัสหากจำเป็น

ที่มา: trendmicro

พบมัลแวร์ตัวใหม่ที่ชื่อว่า Android/Trojan.Bank.Wroba ได้แพร่กระจายไปสู่ตลาดมืด โดยมีเป้าหมายเป็นผู้ใช้ชาวเกาหลี

โดยมีการทำงานแบบ background to monitor การทำงานจะคล้ายๆกับ Google Play Store app หากผู้ใช้ดาวน์โหลดแอพมาใช้งาน มัลแวร์ดังกล่าวจะขโมยข้อมูลใน SMS และตรวจจับแอพพลิเคชั่นที่ถูกติดตั้งอยู่บนเครื่องของเหยื่อ และส่งข้อมูลทั้งหมดไปยังเซิฟร์เวอร์ของผู้โจมตี ส่วนใหญ่มัลแวร์ดังกล่าวจะตั้งเป้าหมายไปยังแอพพลิชั่นที่เกี่ยวกับธนาคาร เมื่อมัลแวร์พบเจอแอพพลิเคชั่น มัลแวร์จะทำการลบแอพพลิเคชั่นเดิมและติดตั้งแอพพลิเคชั่นปลอมเข้าไปแทนที่

ที่มา : thehackernews