มัลแวร์ Banking Trojan ตัวใหม่ชื่อ Antidot ปลอมเป็น Google Play Update ปลอม

Antidot เป็น Banking Trojan บน Android ที่กำลังปลอมตัวเป็นแอปพลิเคชัน "Google Play Update" โดยมุ่งเป้าไปที่ผู้ใช้ Android ในหลายภูมิภาค และใช้เทคนิค VNC (Virtual Network Computing) และ Overlay เพื่อเก็บรวบรวมข้อมูลที่สำคัญของผู้ใช้

ในเดือนเมษายนที่ผ่านมา ทาง Cyble Research and Intelligence Labs (CRIL) ได้เผยแพร่การวิเคราะห์รายละเอียดเกี่ยวกับ Android Banking Trojan ตัวใหม่ที่ชื่อ "Brokewell" ซึ่งถูกสร้างขึ้นโดยนักพัฒนามัลแวร์ชื่อ "Baron Samedit" ซึ่งโทรจันนี้มีความสามารในการเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์

เมื่อไม่นานมานี้ ได้พบ Android Banking Trojan ตัวใหม่อีกหนึ่งตัวที่ชื่อว่า "Antidot" ซึ่งถูกพบครั้งแรกในวันที่ 6 May 2024 (a6f6e6fb44626f8e609b3ccb6cbf73318baf01d08ef84720706b205f2864b116) โดยโทรจันตัวนี้ใช้การโจมตีแบบ Overlay เป็นวิธีการหลัก เพื่อเก็บรวบรวมข้อมูลที่สำคัญของผู้ใช้

มัลแวร์ตัวนี้มีคุณสมบัติหลายอย่าง เช่น

VNC : การควบคุมอุปกรณ์จากระยะไกล
Keylogging : การบันทึกการกดแป้นพิมพ์
Overlay attack : การสร้างหน้าต่างปลอมซ้อนทับเพื่อขโมยข้อมูล
Screen recording : การบันทึกหน้าจอ
Call forwarding : การส่งต่อสายโทรศัพท์
Collecting contacts and SMSs : การเก็บรวบรวมรายชื่อผู้ติดต่อ และข้อความ SMS
Performing USSD requests : การส่งคำสั่ง USSD
Locking and unlocking the device : การล็อก และปลดล็อกอุปกรณ์

Antidot ได้ชื่อนี้เนื่องจากการพบสตริง “Antidot” ภายในโค้ดต้นฉบับ ซึ่งใช้สำหรับการบันทึกข้อมูลข้ามคลาสต่าง ๆ มัลแวร์นี้ใช้การเข้ารหัสแบบกำหนดเองเพื่อทำให้สตริงต่าง ๆ ไม่สามารถอ่านได้ รวมถึงการตั้งชื่อคลาสให้เป็นอักษรที่ไม่สามารถเข้าใจได้ ทำให้การวิเคราะห์มีความยากมากขึ้น

โดยมัลแวร์จะปลอมแปลงเป็นแอปพลิเคชัน "Google Play update" โดยแสดงหน้าการอัปเดต Google Play ปลอมเมื่อทำการติดตั้ง หน้าการอัปเดตปลอมนี้ถูกสร้างขึ้นในหลายภาษา เช่น ภาษาเยอรมัน, ฝรั่งเศส, สเปน, รัสเซีย, โปรตุเกส , โรมาเนีย, และอังกฤษ ซึ่งมุ่งเป้าไปที่ผู้ใช้ Android ในภูมิภาคที่ใช้ภาษาต่าง ๆ เหล่านี้

รายละเอียดทางเทคนิค

ตามที่ได้ระบุไว้ก่อนหน้านี้ หลังจากที่ติดตั้งมัลแวร์แล้ว มัลแวร์จะแสดงหน้าอัปเดตปลอมที่มีปุ่ม "ดำเนินการต่อ" ซึ่งจะเปลี่ยนเส้นทางผู้ใช้ไปยังการตั้งค่าการเข้าถึง (Accessibility settings) เช่นเดียวกันกับ Banking Trojans ตัวอื่น ๆ

Command and Control server communication

ในเบื้องหลัง มัลแวร์จะเริ่มการสื่อสารกับ C2 Server "hxxp://46[.]228.205.159:5055/" นอกจากการเชื่อมต่อด้วย HTTP แล้ว Antidot ยังเริ่มการสื่อสารผ่าน WebSocket โดยใช้ไลบรารี socket.

มัลแวร์ Xamalicious ตัวใหม่บน Android ถูกติดตั้งไปแล้วกว่า 330,000 ครั้งบน Google Play

มัลแวร์ Xamalicious ตัวใหม่บน Android ถูกติดตั้งไปแล้วกว่า 330,000 ครั้งบน Google Play

พบ Android backdoor ที่ยังไม่เคยถูกพบมาก่อนในชื่อ 'Xamalicious' ได้ถูกติดตั้งไปยังอุปกรณ์ Android ไปแล้วรวมกันกว่า 338,300 เครื่อง ผ่านแอปพลิเคชันที่เป็นอันตรายบน Google Play ซึ่งเป็น App Store อย่างเป็นทางการของ Android

(more…)

แอปพลิเคชันสินเชื่อปลอม ถูกดาวน์โหลดแล้วกว่า 12 ล้านครั้งใน Google Play

พบแอปพลิเคชันให้บริการสินเชื่อ ซึ่งอ้างว่าจะให้สินเชื่อกับผู้ใช้ภายหลังจากการกรอกรายละเอียดข้อมูลเพื่อสมัครใช้งาน แต่จุดประสงค์ที่แท้จริงคือการขโมยข้อมูล และนำไปข่มขู่ แบล็คเมล์ เหยื่อที่หลงเชื่อ
(more…)

พบแอปพลิเคชันบน Google Play ที่มีการติดตั้งไปแล้วกว่า 1.5 ล้านครั้ง ส่งข้อมูลผู้ใช้งานไปยังประเทศจีน

นักวิจัยด้านความปลอดภัยพบแอปพลิเคชันการจัดการไฟล์ (File Manager) ที่เป็นอันตรายสองรายการบน Google Play ที่มีจำนวนการติดตั้งไปแล้วรวมกว่า 1.5 ล้านรายการ ซึ่งรวบรวมข้อมูลผู้ใช้งานที่มากเกินความจําเป็นสำหรับการให้บริการฟีเจอร์

แอปพลิเคชันทั้งสองรายการมาจากนักพํฒนาคนเดียวกัน และสามารถเปิดใช้งานได้โดยไม่ต้องมีการโต้ตอบใด ๆ กับผู้ใช้งานเพื่อขโมยข้อมูลที่มีความสำคัญ และส่งกลับไปยังเซิร์ฟเวอร์ในประเทศจีน

โดยนักวิจัยพบว่ามีการติดตั้งแอปพลิเคชัน File Recovery & Data Recovery (com.

สปายแวร์บน Android ปลอมตัวเป็นแอป VPN, แอปแชทบน Google Play

แอปพลิเคชันบน Android 3 รายการบน Google Play ถูกใช้โดยผู้โจมตีที่ได้รับการสนับสนุนจากรัฐ เพื่อรวบรวมข้อมูลจากอุปกรณ์เป้าหมาย เช่น ข้อมูลตำแหน่ง และรายชื่อผู้ติดต่อ

แอปพลิเคชันดังกล่าวถูกพบโดย Cyfirma ซึ่งระบุถึงปฏิบัติการดังกล่าวว่ามาจากกลุ่มแฮ็กเกอร์ที่ชื่อ "DoNot" ของอินเดีย ซึ่งถูกติดตามในชื่อ APT-C-35 ซึ่งกำหนดเป้าหมายไปยังองค์กรที่มีชื่อเสียงระดับสูงในเอเชียตะวันออกเฉียงใต้ตั้งแต่ปี 2018 (more…)

แฮ็กเกอร์ใช้แอปพลิเคชัน ChatGPT ปลอมเพื่อหลอกติดตั้งมัลแวร์ [EndUser] [Update]

ChatGPT เป็นเครื่องมือออนไลน์ที่ให้บริการผ่านทาง chat.openai.com โดยที่ยังไม่มีแอปพลิเคชันบนมือถือ หรือเดสก์ท็อป โดย ChatGPT ได้รับความสนใจอย่างล้นหลามตั้งแต่เปิดตัวในเดือนพฤศจิกายน 2565 และกลายเป็นแอปพลิเคชันที่เติบโตอย่างรวดเร็วที่สุดในประวัติศาสตร์ยุคใหม่ โดยมีผู้ใช้มากกว่า 100 ล้านคนภายในเดือนมกราคม 2566

โดยปัจจุบันพบว่าแฮ็กเกอร์กำลังใช้ประโยชน์จากความนิยมของแชทบอต ChatGPT ของ OpenAI ในการแพร่กระจายมัลแวร์บน Windows และ Android หรือหลอกเหยื่อไปยังหน้าฟิชชิ่ง

เนื่องจากความนิยมเป็นอย่างมาก และการเติบโตอย่างรวดเร็วทำให้ OpenAI ต้องเปิดตัวระดับการใช้งานที่ต้องมีการจ่ายค่าบริการ $20 ต่อเดือน (ChatGPT Plus) สำหรับบุคคลทั่วไปที่ต้องการใช้แชทบอทได้ตลอดเวลา โดยไม่มีข้อจำกัดด้านความพร้อมใช้งาน

ทำให้แฮ็กเกอร์ใช้ประโยชน์จากเงื่อนไขดังกล่าว อ้างว่าสามารถให้สิทธิ์เข้าถึง ChatGPT ระดับพรีเมียมโดยไม่เสียค่าใช้จ่ายใด ๆ โดยมีเป้าหมายเพื่อหลอกให้ผู้ใช้ให้ติดตั้งมัลแวร์ หรือให้กรอกข้อมูล credentials ของบัญชีต่าง ๆ

เว็บไซต์ดังกล่าวได้รับการโปรโมทโดยเพจ Facebook ที่ใช้โลโก้ ChatGPT อย่างเป็นทางการเพื่อหลอกให้ผู้ใช้เข้าไปยังเว็บไซต์ที่เป็นอันตราย

โดยแอปพลิเคชัน ChatGPT ปลอมได้รับการโปรโมทบน Google Play และ third-party stores ** ของ Android เพื่อหลอกลวงผู้ใช้งาน

โดยรายงานจาก CyBle มีการค้นพบดังนี้

"chat-gpt-go[.]online" ใช้แพร่กระจายมัลแวร์ที่ขโมยข้อมูลบนคลิปบอร์ด และ Aurora stealer
"chat-gpt-pc[.]online" ใช้แพร่กระจายมัลแวร์ Lumma
"openai-pc-pro[.]online" ใช้แพร่กระจายมัลแวร์ในตระกูลที่ยังไม่เป็นที่รู้จัก
"pay[.]chatgptftw[.]com" ใช้ขโมยข้อมูลบัตรเครดิต ซึ่งคาดว่าจะหลอกให้ผู้เข้าใช้งานเว็บไซต์ชำระเงินเพื่อซื้อ ChatGPT Plus ปลอม

โดย CyBle ยังพบแอปพลิเคชันที่เป็นอันตรายกว่า 50 รายการที่ใช้ไอคอนของ ChatGPT และชื่อที่คล้ายกัน โดยทั้งหมดเป็นแอปพลิเคชันปลอม และพยายามสร้าง activities ที่เป็นอันตรายบนอุปกรณ์ของผู้ใช้

ตัวอย่างที่ปรากฏในรายงานคือ 'chatGPT1' ซึ่งเป็นแอปพลิเคชันหลอกเรียกเก็บเงินผ่าน SMS และ 'AI Photo' ซึ่งประกอบด้วยมัลแวร์ Spynote สามารถขโมยบันทึกการโทร รายชื่อผู้ติดต่อ SMS และไฟล์จากอุปกรณ์ได้

คำแนะนำ

ผู้ใช้งานควรหลีกเลี่ยงการดาวน์โหลดแอปพลิเคชันที่หลอกว่าเป็น ChatGPT เนื่องจากในปัจจุบัน ChatGPT ยังสามารถใช้งานได้ผ่านทางหน้าเว็ปไซต์เท่านั้น

ที่มา : bleepingcomputer

มัลแวร์ SharkBot กลับมาอีกครั้งบน Google Play เพื่อขโมยข้อมูลเข้าสู่ระบบธนาคารของผู้ใช้งาน

มัลแวร์ SharkBot เวอร์ชันใหม่ได้กลับมาที่ Play Store ของ Google อีกครั้ง โดยมุ่งเป้าไปที่การเข้าสู่ระบบธนาคารของผู้ใช้ Android ผ่านแอปพลิเคชัน mobile banking

โดยมัลแวร์ตัวนี้อยู่ใน 2 แอปพลิเคชันบน Android ที่เมื่อส่งไปยังการตรวจสอบอัตโนมัติของ Google กลับไม่พบว่ามีโค้ดที่เป็นอันตราย เนื่องจาก SharkBot จะถูกลงเพิ่มเข้ามาในภายหลังจากการอัปเดตของทั้ง 2 แอปพลิเคชันดังกล่าว

จากรายงานของ Fox IT ซึ่งเป็นส่วนหนึ่งของกลุ่ม NCC Group พบว่าแอปพลิเคชันที่เป็นอันตราย 2 แอปดังกล่าวคือ “Mister Phone Cleaner” และ “Kylhavy Mobile Security” ซึ่งมีผู้ใช้งานติดตั้งไปแล้วกว่า 60,000 ครั้ง

ถึงแม้ 2 แอปพลิเคชันดังกล่าวจะถูกลบออกจาก Google Play แล้วแต่ผู้ใช้ที่ติดตั้งไปแล้วยังคงมีความเสี่ยง ผู้ใช้งานจึงควรถอนการติดตั้งทั้ง 2 แอปดังกล่าวออกด้วยตนเอง

วิวัฒนาการของมัลแวร์ SharkBot

นักวิเคราะห์มัลแวร์จาก Cleafy ซึ่งเป็นบริษัทจัดการ และป้องกันการฉ้อโกงออนไลน์จากอิตาลี เป็นผู้ค้นพบ SharkBot ในเดือนตุลาคม 2564 และในเดือนมีนาคม 2565 กลุ่ม NCC ก็พบแอปพลิเคชันแรกที่มีมัลแวร์นี้บน Google Play

ในขณะนั้น มัลแวร์สามารถทำการโจมตีแบบ overlay ขโมยข้อมูลผ่านระบบการบันทึกแป้นพิมพ์ ดักรับข้อความ SMS หรือให้ผู้โจมตีสามารถเข้าถึง และควบคุมเครื่องได้อย่างสมบูรณ์

ต่อมาในเดือนพฤษภาคม พ.ศ. 2565 นักวิเคราะห์ของ ThreatFabric พบ SharkBot 2 ที่มาพร้อมกับการอัปเดตอัลกอริธึมการสร้างโดเมน (DGA), เพิ่มโปรโตคอลการเชื่อมต่อ และปรับโครงสร้างโค้ดใหม่ทั้งหมด

ล่าสุดเมื่อวันที่ 22 สิงหาคม 2565 ที่ผ่านมา นักเคราะห์ของ Fox IT ค้นพบมัลแวร์เวอร์ชันใหม่ (2.25) ซึ่งเพิ่มความสามารถในการขโมยคุกกี้จากการเข้าสู่ระบบบัญชีธนาคาร

นอกจากนี้ตัวแอปพลิเคชันตั้งต้นของเวอร์ชันใหม่จะไม่มีพฤติกรรมละเมิด Accessibility Services เหมือนในเวอร์ชันก่อนหน้า

เมื่อติดตั้งแอปพลิเคชันเสร็จ แอปพลิเคชันจะเตือนผู้ใช้ว่ามีการอัปเดต และจะส่ง request ไปยังเซิร์ฟเวอร์ C2 เพื่อรับไฟล์ APK ของ Sharkbot โดยตรง ไม่ใช่เป็นลักษณะลิงค์ดาวน์โหลดเหมือนในเวอร์ชันก่อน จากนั้นจะขอให้ผู้ใช้งานติดตั้งไฟล์ APK และให้สิทธิ์ที่จำเป็นทั้งหมด

เพื่อให้การตรวจจับทำได้ยากขึ้น SharkBot จะจัดเก็บการกำหนดค่าแบบฮาร์ดโค้ดในรูปแบบที่เข้ารหัสโดยใช้อัลกอริทึม RC4

Cookie-loving shark

ใน sharkbot เวอร์ชัน 2.25 ยังคงมีการเขียนทับข้อความ, การปิดกั้น SMS, การเข้าถึงการควบคุม และการบันทึกแป้นพิมพ์ แต่มีการเพิ่มตัวบันทึกคุกกี้เพื่อส่งต่อไปยังผู้โจมตี

เมื่อผู้ใช้งานลงชื่อเข้าใช้บัญชีธนาคาร SharkBot จะขโมยคุกกี้เซสชันโดยใช้คำสั่ง (“logsCookie”) และส่งกลับไปที่ C2 เซิร์ฟเวอร์

ในระหว่างการสืบสวนทางทีม Fox IT ได้พบแคมเปญ SharkBot ครั้งใหม่นี้ในยุโรป (สเปน ออสเตรีย เยอรมนี โปแลนด์ ออสเตรีย) และสหรัฐอเมริกา นักวิเคราะห์พบว่ามัลแวร์

ด้วยมัลแวร์เวอร์ชันปรับปรุงดังกล่าว Fox IT คาดว่าแคมเปญ SharkBot จะดำเนินต่อไป และจะมีการพัฒนาไปอย่างต่อเนื่อง

ที่มา : bleepingcomputer

ZNIU, the first Android malware family to exploit the Dirty COW vulnerability

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Trend Micro ได้พบมัลแวร์ Android รุ่นใหม่ชื่อว่า ZNIU ที่ใช้ประโยชน์จากช่องโหว่ Dirty COW ซึ่งเป็นช่องโหว่บน Linux kernel โดยช่องโหว่นี้จะทำให้ผู้ใช้ที่มีสิทธิ์อ่านไฟล์ สามารถมีสิทธิ์เขียนไฟล์ด้วย ถึงแม้ว่าไฟล์นั้นต้องการสิทธิ์ของ root ในการเขียนก็ตาม รวมถึงสามารถสั่ง setuid ไฟล์นั้นเพื่อให้ถูกรันด้วยสิทธิ์ของ root ได้ด้วย

มัลแวร์ ZNIU ถูกตรวจพบแล้วในกว่า 40 ประเทศทั่วโลกเมื่อเดือนที่แล้ว และพบว่ามี Application มากกว่า 1200 รายการ ที่มีการติดต่อไปยังเวปไซต์ที่คาดว่าเกี่ยวข้องกับมัลแวร์ตัวนี้ โดยจะพบใน Application สำหรับผู้ใหญ่(Porn Application) มากที่สุด Application เหล่านี้จะมีการใช้งาน rootkit เพื่อใช้ในการโจมตีผ่านช่องโหว่ Dirty COW ผู้เชี่ยวชาญกล่าวว่า Code ที่ใช้ในการโจมตีจะทำงานได้เฉพาะกับอุปกรณ์แอนดรอยด์ที่ใช้สถาปัตยกรรม ARM/X86 64 บิตเท่านั้น และสามารถเจาะเข้าไปเพื่อทำการสร้าง backdoor บน SELinux ได้ เมื่อมีการติดตั้ง Application เรียบร้อยแล้ว จะมีการเรียกไปยังเวปไซต์ที่เป็นอันตราย เพื่อทำการดาวน์โหลด rootkit มาลงบนเครื่อง จากนั้นจึงทำการเพิ่มสิทธิ์ตัวเองให้เป็น root และจะมีการสร้าง backdoor ขึ้นมา ทั้งนี้พบว่า Domain และ Server ในการส่งคำสั่งและการควบคุมมัลแวร์อยู่ในประเทศจีน นอกเหนือจากนี้ยังพบว่ามัลแวร์มีพฤติกรรมหลอกลวงเพื่อหาเงินผ่านการใช้ SMS-enabled payment service ซึ่งเป็นบริการที่สามารถใช้ได้ในประเทศจีนเท่านั้น

ทั้งนี้ผู้ใช้งานควรเลือกติดตั้ง Application ที่มาจาก Google Play หรือ third-party ที่น่าเชื่อถือเท่านั้น หรือลง Application ที่ช่วยเรื่องความปลอดภัยบนมือถือที่ใช้งาน

ที่มา:securityaffairs

Android SMS malware hosted on Google Play infects 1.2 Million users

นักวิจัยด้านความปลอดภัยจาก Panda Labs พบว่ามีมัลแวร์แอบแฝงอยู่ในแอพลิเคชั่นบน Google play ส่วนใหญ่แล้วผู้ที่ได้รับผลกระทบมากที่สุดคือ ผู้ใช้จากประเทศสเปน

โดยมีแอพพลิเคชั่นดังนี้

Peinados Fáciles (Easy Hairdos)
Dietas para Reducir el Abdomen (Abs Diets)
Rutinas Ejercicios para el Gym (Workout Routines)
Cupcakes Recetas (Cupcake Recipes)

เมื่อเครื่องติดมัลแวร์ดังกล่าว แฮกเกอร์จะเข้าถึงข้อมูลส่วนตัวของผู้ใช้ในระดับ premium ได้ จากเบอร์โทรศัพท์บนแอพลิเคชั่น WhatsApp

จากรายงานกล่าวว่า แอพลิเคชั่นดังกล่าวถูกดาวน์โหลดไปแล้วประมาน 1.2 ล้านคน

ที่มา : ehackingnews

Android SMS malware hosted on Google Play infects 1.2 Million users

นักวิจัยด้านความปลอดภัยจาก Panda Labs พบว่ามีมัลแวร์แอบแฝงอยู่ในแอพลิเคชั่นบน Google play ส่วนใหญ่แล้วผู้ที่ได้รับผลกระทบมากที่สุดคือ ผู้ใช้จากประเทศสเปน

โดยมีแอพพลิเคชั่นดังนี้

Peinados Fáciles (Easy Hairdos)
Dietas para Reducir el Abdomen (Abs Diets)
Rutinas Ejercicios para el Gym (Workout Routines)
Cupcakes Recetas (Cupcake Recipes)

เมื่อเครื่องติดมัลแวร์ดังกล่าว แฮกเกอร์จะเข้าถึงข้อมูลส่วนตัวของผู้ใช้ในระดับ premium ได้ จากเบอร์โทรศัพท์บนแอพลิเคชั่น WhatsApp

จากรายงานกล่าวว่า แอพลิเคชั่นดังกล่าวถูกดาวน์โหลดไปแล้วประมาน 1.2 ล้านคน

ที่มา : ehackingnews