แอปพลิเคชันอันตรายบน Android กว่า 300 แอป ซึ่งถูกดาวน์โหลดไปแล้วกว่า 60 ล้านครั้งจาก Google Play โดยแอปเหล่านี้ทำหน้าที่เป็น Adware หรือพยายามขโมยข้อมูล credentials และข้อมูลบัตรเครดิตของผู้ใช้ (more…)

แอปพลิเคชันมัลแวร์บน Android ชื่อ SpyLend ถูกดาวน์โหลดไปแล้วกว่า 100,000 ครั้งจาก Google Play ซึ่งปลอมเป็นเครื่องมือทางการเงิน แต่แท้ที่จริงแล้วเป็นแอปพลิเคชันปล่อยเงินกู้ที่เอาเปรียบผู้ใช้งานในอินเดีย

แอปพลิเคชันนี้อยู่ในกลุ่มแอปพลิเคชันอันตรายบน Android ที่เรียกว่า "SpyLoan" ซึ่งปลอมตัวเป็นเครื่องมือทางการเงิน หรือบริการสินเชื่อที่ถูกต้อง แต่แท้จริงแล้วเป็นแอปพลิเคชันที่ขโมยข้อมูลจากอุปกรณ์เพื่อนำไปใช้ในการปล่อยเงินกู้ที่เอาเปรียบผู้ใช้งาน (more…)

แอปพลิเคชันมัลแวร์บน Android ชื่อ SpyLend ถูกดาวน์โหลดไปแล้วกว่า 100,000 ครั้งจาก Google Play ซึ่งปลอมเป็นเครื่องมือทางการเงิน แต่แท้ที่จริงแล้วเป็นแอปพลิเคชันปล่อยเงินกู้ที่เอาเปรียบผู้ใช้งานในอินเดีย

แอปพลิเคชันนี้อยู่ในกลุ่มแอปพลิเคชันอันตรายบน Android ที่เรียกว่า "SpyLoan" ซึ่งปลอมตัวเป็นเครื่องมือทางการเงิน หรือบริการสินเชื่อที่ถูกต้อง แต่แท้จริงแล้วเป็นแอปพลิเคชันที่ขโมยข้อมูลจากอุปกรณ์เพื่อนำไปใช้ในการปล่อยเงินกู้ที่เอาเปรียบผู้ใช้งาน (more…)

พบแอปพลิเคชันของมัลแวร์ SpyLoan ชุดใหม่จำนวน 15 แอปพลิเคชันบน Google Play โดยมียอดดาวน์โหลดไปแล้วกว่า 8 ล้านครั้ง ซึ่งมุ่งเป้าหมายไปที่ผู้ใช้งานในภูมิภาคอเมริกาใต้, เอเชียตะวันออกเฉียงใต้ และแอฟริกาเป็นหลัก (more…)

Google Play ซึ่งเป็น Official store อย่างเป็นทางการสำหรับ Android ได้เผยแพร่แอปพลิเคชันที่เป็นอันตรายมากกว่า 200 รายการในช่วงเวลาหนึ่งปี โดยมียอดดาวน์โหลดรวมเกือบ 8 ล้านครั้ง

ข้อมูลถูกเก็บรวบรวมระหว่างเดือนมิถุนายน 2023 ถึงเมษายน 2024 โดยนักวิจัยด้านข่าวกรองภัยคุกคามจาก Zscaler ซึ่งได้ระบุ และวิเคราะห์มัลแวร์หลายกลุ่มทั้งบน Google Play และแพลตฟอร์มร้านค้าอื่น ๆ

ภัยคุกคามที่นักวิจัยค้นพบบ่อยที่สุดใน App Store อย่างเป็นทางการของ Android ได้แก่

Joker (38.2%) : มัลแวร์ขโมยข้อมูล และดักจับข้อความ SMS ซึ่งสมัครสมาชิกบริการพรีเมียมโดยไม่ให้เหยื่อรู้ตัว
Adware (35.9%) : แอปพลิเคชันที่ใช้แบนด์วิธอินเทอร์เน็ต และแบตเตอรี่เพื่อโหลดโฆษณาเบื้องหน้า หรือโฆษณาที่มองไม่เห็นในพื้นหลัง เพื่อทำให้เกิดการแสดงโฆษณาที่เป็นการหลอกลวง
Facestealer (14.7%) : มัลแวร์ขโมยข้อมูลบัญชี Facebook โดยซ้อนแบบฟอร์มฟิชชิงบนแอปโซเชียลมีเดีย
Coper (3.7%) : มัลแวร์ขโมยข้อมูล และดักจับข้อความ SMS ที่ยังสามารถบันทึกการกดแป้นพิมพ์ และแสดงหน้าเว็บฟิชชิงซ้อนทับได้
Loanly Installer (2.3%)
Harly (1.4%) : โทรจันที่สมัครสมาชิกบริการพรีเมียมให้กับเหยื่อ
Anatsa (0.9%) : Anatsa หรือที่เรียกว่า Teabot เป็นโทรจันด้านการเงินที่โจมตีแอปพลิเคชันธนาคารกว่า 650 แอปทั่วโลก

เมื่อต้นปีที่ผ่านมาในเดือนพฤษภาคม นักวิจัยกลุ่มเดียวกันได้แจ้งเตือนเกี่ยวกับแอปพลิเคชันที่เป็นอันตรายกว่า 90 รายการบน Google Play ซึ่งมียอดดาวน์โหลดถึง 5.5 ล้านครั้ง

แม้ว่า Google จะมีระบบรักษาความปลอดภัยเพื่อตรวจจับแอปพลิเคชันที่เป็นอันตราย แต่ผู้ไม่หวังดียังคงมีวิธีการบางอย่างในการหลีกเลี่ยงกระบวนการตรวจสอบ ในรายงานเมื่อปีที่แล้ว ทีมความปลอดภัยของ Google Cloud ได้อธิบายถึง 'versioning' ซึ่งเป็นวิธีที่มัลแวร์ถูกส่งผ่านการอัปเดตแอปพลิเคชัน หรือโหลดจากเซิร์ฟเวอร์ที่ผู้ไม่หวังดีควบคุมอยู่

ไม่ว่าวิธีการใดจะถูกใช้ในการแพร่กระจายมัลแวร์ผ่าน Google Play แคมเปญบางรายการก็ประสบความสำเร็จมากกว่ารายการอื่น ๆ แม้ว่ารายงานของ Zscaler จะเน้นไปที่มัลแวร์บน Android ที่พบได้บ่อย แต่ก็มีนักวิจัยคนอื่น ๆ ที่ค้นพบแคมเปญที่ใช้ Google Play ในการกระจายมัลแวร์ไปยังผู้ใช้นับล้านเช่นกัน

ในกรณีหนึ่ง มัลแวร์ Necro loader สำหรับ Android ถูกดาวน์โหลด 11 ล้านครั้งผ่านแอปพลิเคชันสองรายการที่เผยแพร่บน Official store อย่างเป็นทางการ

ในอีกกรณีหนึ่ง มัลแวร์ Goldoson บน Android ถูกตรวจพบในแอปพลิเคชันทางการจำนวน 60 รายการ ซึ่งมียอดดาวน์โหลดรวมกันถึง 100 ล้านครั้ง

เมื่อปีที่แล้ว มัลแวร์ SpyLoan ถูกพบในแอปพลิเคชันบน Google Play ที่ถูกดาวน์โหลดมากกว่า 12 ล้านครั้ง

เกือบครึ่งหนึ่งของแอปพลิเคชันที่เป็นอันตรายที่ Zscaler ThreatLabz ค้นพบถูกเผยแพร่อยู่บน Google Play ภายใต้หมวดหมู่เครื่องมือ, การปรับแต่ง, การถ่ายภาพ, ประสิทธิภาพการทำงาน และไลฟ์สไตล์

ในด้านการบล็อกมัลแวร์ที่พยายามในปีนี้ Zscaler รายงานว่ามีแนวโน้มที่ลดลงโดยรวม ตามที่วัดจากจำนวนธุรกรรมที่ถูกบล็อก

โดยเฉลี่ยแล้ว ThreatLabz บันทึกการบล็อกที่ 1.7 ล้านครั้งต่อเดือน โดยมีการบล็อกทั้งหมด 20 ล้านครั้งตลอดระยะเวลาการวิเคราะห์ โดยภัยคุกคามที่พบบ่อยที่สุด ได้แก่ Vultur, Hydra, Ermac, Anatsa, Coper, และ Nexus

รายงานภัยคุกคามบนมือถือของ Zscaler ยังแสดงให้เห็นว่ามีการติดมัลแวร์ spyware เพิ่มขึ้นอย่างมีนัยสำคัญ ซึ่งส่วนใหญ่เกิดจากกลุ่มมัลแวร์ SpyLoan, SpinOK, และ SpyNote ในปีที่ผ่านมา บริษัทได้บันทึกการบล็อกกิจกรรม spyware จำนวน 232,000 ครั้ง

ประเทศที่ถูกโจมตีจากมัลแวร์บนมือถือมากที่สุดในปีที่ผ่านมา ได้แก่ อินเดีย และสหรัฐอเมริกา ตามด้วยแคนาดา, แอฟริกาใต้ และเนเธอร์แลนด์

ตามรายงาน มัลแวร์บนมือถือมุ่งเป้าไปที่ภาคการศึกษาเป็นหลัก โดยมีจำนวนธุรกรรมที่ถูกบล็อกเพิ่มขึ้น 136.8% ในขณะที่ภาคบริการมีการเพิ่มขึ้น 40.9% และภาคเคมี และการทำเหมืองมีการเพิ่มขึ้น 24% ส่วนภาคอื่น ๆ ทั้งหมดแสดงให้เห็นถึงแนวโน้มการลดลง

เพื่อลดโอกาสในการติดมัลแวร์จาก Google Play ผู้ใช้งานควรอ่านความคิดเห็นของผู้อื่น เพื่อดูปัญหาที่มีการรายงาน และตรวจสอบผู้เผยแพร่แอปพลิเคชัน

ผู้ใช้งานควรตรวจสอบสิทธิ์ที่แอปพลิเคชันร้องขอในระหว่างการติดตั้ง และยกเลิกการใช้งานหากแอปพลิเคชันต้องการสิทธิ์ที่ไม่ตรงกับการใช้งาน

ที่มา : bleepingcomputer

แอปที่ใช้ในการขโมยคริปโตซึ่งเลียนแบบโปรเจ็กต์ 'WalletConnect' ได้ถูกเผยแพร่บน Google Play มาเป็นเวลากว่า 5 เดือน โดยมียอดดาวน์โหลดไปแล้วมากกว่า 10,000 ครั้ง (more…)

Antidot เป็น Banking Trojan บน Android ที่กำลังปลอมตัวเป็นแอปพลิเคชัน "Google Play Update" โดยมุ่งเป้าไปที่ผู้ใช้ Android ในหลายภูมิภาค และใช้เทคนิค VNC (Virtual Network Computing) และ Overlay เพื่อเก็บรวบรวมข้อมูลที่สำคัญของผู้ใช้

ในเดือนเมษายนที่ผ่านมา ทาง Cyble Research and Intelligence Labs (CRIL) ได้เผยแพร่การวิเคราะห์รายละเอียดเกี่ยวกับ Android Banking Trojan ตัวใหม่ที่ชื่อ "Brokewell" ซึ่งถูกสร้างขึ้นโดยนักพัฒนามัลแวร์ชื่อ "Baron Samedit" ซึ่งโทรจันนี้มีความสามารในการเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์

เมื่อไม่นานมานี้ ได้พบ Android Banking Trojan ตัวใหม่อีกหนึ่งตัวที่ชื่อว่า "Antidot" ซึ่งถูกพบครั้งแรกในวันที่ 6 May 2024 (a6f6e6fb44626f8e609b3ccb6cbf73318baf01d08ef84720706b205f2864b116) โดยโทรจันตัวนี้ใช้การโจมตีแบบ Overlay เป็นวิธีการหลัก เพื่อเก็บรวบรวมข้อมูลที่สำคัญของผู้ใช้

มัลแวร์ตัวนี้มีคุณสมบัติหลายอย่าง เช่น

VNC : การควบคุมอุปกรณ์จากระยะไกล
Keylogging : การบันทึกการกดแป้นพิมพ์
Overlay attack : การสร้างหน้าต่างปลอมซ้อนทับเพื่อขโมยข้อมูล
Screen recording : การบันทึกหน้าจอ
Call forwarding : การส่งต่อสายโทรศัพท์
Collecting contacts and SMSs : การเก็บรวบรวมรายชื่อผู้ติดต่อ และข้อความ SMS
Performing USSD requests : การส่งคำสั่ง USSD
Locking and unlocking the device : การล็อก และปลดล็อกอุปกรณ์

Antidot ได้ชื่อนี้เนื่องจากการพบสตริง “Antidot” ภายในโค้ดต้นฉบับ ซึ่งใช้สำหรับการบันทึกข้อมูลข้ามคลาสต่าง ๆ มัลแวร์นี้ใช้การเข้ารหัสแบบกำหนดเองเพื่อทำให้สตริงต่าง ๆ ไม่สามารถอ่านได้ รวมถึงการตั้งชื่อคลาสให้เป็นอักษรที่ไม่สามารถเข้าใจได้ ทำให้การวิเคราะห์มีความยากมากขึ้น

โดยมัลแวร์จะปลอมแปลงเป็นแอปพลิเคชัน "Google Play update" โดยแสดงหน้าการอัปเดต Google Play ปลอมเมื่อทำการติดตั้ง หน้าการอัปเดตปลอมนี้ถูกสร้างขึ้นในหลายภาษา เช่น ภาษาเยอรมัน, ฝรั่งเศส, สเปน, รัสเซีย, โปรตุเกส , โรมาเนีย, และอังกฤษ ซึ่งมุ่งเป้าไปที่ผู้ใช้ Android ในภูมิภาคที่ใช้ภาษาต่าง ๆ เหล่านี้

รายละเอียดทางเทคนิค

ตามที่ได้ระบุไว้ก่อนหน้านี้ หลังจากที่ติดตั้งมัลแวร์แล้ว มัลแวร์จะแสดงหน้าอัปเดตปลอมที่มีปุ่ม "ดำเนินการต่อ" ซึ่งจะเปลี่ยนเส้นทางผู้ใช้ไปยังการตั้งค่าการเข้าถึง (Accessibility settings) เช่นเดียวกันกับ Banking Trojans ตัวอื่น ๆ

Command and Control server communication

ในเบื้องหลัง มัลแวร์จะเริ่มการสื่อสารกับ C2 Server "hxxp://46[.]228.205.159:5055/" นอกจากการเชื่อมต่อด้วย HTTP แล้ว Antidot ยังเริ่มการสื่อสารผ่าน WebSocket โดยใช้ไลบรารี socket.

มัลแวร์ Xamalicious ตัวใหม่บน Android ถูกติดตั้งไปแล้วกว่า 330,000 ครั้งบน Google Play

พบ Android backdoor ที่ยังไม่เคยถูกพบมาก่อนในชื่อ 'Xamalicious' ได้ถูกติดตั้งไปยังอุปกรณ์ Android ไปแล้วรวมกันกว่า 338,300 เครื่อง ผ่านแอปพลิเคชันที่เป็นอันตรายบน Google Play ซึ่งเป็น App Store อย่างเป็นทางการของ Android

(more…)

พบแอปพลิเคชันให้บริการสินเชื่อ ซึ่งอ้างว่าจะให้สินเชื่อกับผู้ใช้ภายหลังจากการกรอกรายละเอียดข้อมูลเพื่อสมัครใช้งาน แต่จุดประสงค์ที่แท้จริงคือการขโมยข้อมูล และนำไปข่มขู่ แบล็คเมล์ เหยื่อที่หลงเชื่อ
(more…)

นักวิจัยด้านความปลอดภัยพบแอปพลิเคชันการจัดการไฟล์ (File Manager) ที่เป็นอันตรายสองรายการบน Google Play ที่มีจำนวนการติดตั้งไปแล้วรวมกว่า 1.5 ล้านรายการ ซึ่งรวบรวมข้อมูลผู้ใช้งานที่มากเกินความจําเป็นสำหรับการให้บริการฟีเจอร์

แอปพลิเคชันทั้งสองรายการมาจากนักพํฒนาคนเดียวกัน และสามารถเปิดใช้งานได้โดยไม่ต้องมีการโต้ตอบใด ๆ กับผู้ใช้งานเพื่อขโมยข้อมูลที่มีความสำคัญ และส่งกลับไปยังเซิร์ฟเวอร์ในประเทศจีน

โดยนักวิจัยพบว่ามีการติดตั้งแอปพลิเคชัน File Recovery & Data Recovery (com.