ZNIU, the first Android malware family to exploit the Dirty COW vulnerability

ผู้เชี่ยวชาญด้านความปลอดภัยจาก Trend Micro ได้พบมัลแวร์ Android รุ่นใหม่ชื่อว่า ZNIU ที่ใช้ประโยชน์จากช่องโหว่ Dirty COW ซึ่งเป็นช่องโหว่บน Linux kernel โดยช่องโหว่นี้จะทำให้ผู้ใช้ที่มีสิทธิ์อ่านไฟล์ สามารถมีสิทธิ์เขียนไฟล์ด้วย ถึงแม้ว่าไฟล์นั้นต้องการสิทธิ์ของ root ในการเขียนก็ตาม รวมถึงสามารถสั่ง setuid ไฟล์นั้นเพื่อให้ถูกรันด้วยสิทธิ์ของ root ได้ด้วย

มัลแวร์ ZNIU ถูกตรวจพบแล้วในกว่า 40 ประเทศทั่วโลกเมื่อเดือนที่แล้ว และพบว่ามี Application มากกว่า 1200 รายการ ที่มีการติดต่อไปยังเวปไซต์ที่คาดว่าเกี่ยวข้องกับมัลแวร์ตัวนี้ โดยจะพบใน Application สำหรับผู้ใหญ่(Porn Application) มากที่สุด Application เหล่านี้จะมีการใช้งาน rootkit เพื่อใช้ในการโจมตีผ่านช่องโหว่ Dirty COW ผู้เชี่ยวชาญกล่าวว่า Code ที่ใช้ในการโจมตีจะทำงานได้เฉพาะกับอุปกรณ์แอนดรอยด์ที่ใช้สถาปัตยกรรม ARM/X86 64 บิตเท่านั้น และสามารถเจาะเข้าไปเพื่อทำการสร้าง backdoor บน SELinux ได้ เมื่อมีการติดตั้ง Application เรียบร้อยแล้ว จะมีการเรียกไปยังเวปไซต์ที่เป็นอันตราย เพื่อทำการดาวน์โหลด rootkit มาลงบนเครื่อง จากนั้นจึงทำการเพิ่มสิทธิ์ตัวเองให้เป็น root และจะมีการสร้าง backdoor ขึ้นมา ทั้งนี้พบว่า Domain และ Server ในการส่งคำสั่งและการควบคุมมัลแวร์อยู่ในประเทศจีน นอกเหนือจากนี้ยังพบว่ามัลแวร์มีพฤติกรรมหลอกลวงเพื่อหาเงินผ่านการใช้ SMS-enabled payment service ซึ่งเป็นบริการที่สามารถใช้ได้ในประเทศจีนเท่านั้น

ทั้งนี้ผู้ใช้งานควรเลือกติดตั้ง Application ที่มาจาก Google Play หรือ third-party ที่น่าเชื่อถือเท่านั้น หรือลง Application ที่ช่วยเรื่องความปลอดภัยบนมือถือที่ใช้งาน

ที่มา:securityaffairs

Android SMS malware hosted on Google Play infects 1.2 Million users

นักวิจัยด้านความปลอดภัยจาก Panda Labs พบว่ามีมัลแวร์แอบแฝงอยู่ในแอพลิเคชั่นบน Google play ส่วนใหญ่แล้วผู้ที่ได้รับผลกระทบมากที่สุดคือ ผู้ใช้จากประเทศสเปน

โดยมีแอพพลิเคชั่นดังนี้

Peinados Fáciles (Easy Hairdos)
Dietas para Reducir el Abdomen (Abs Diets)
Rutinas Ejercicios para el Gym (Workout Routines)
Cupcakes Recetas (Cupcake Recipes)

เมื่อเครื่องติดมัลแวร์ดังกล่าว แฮกเกอร์จะเข้าถึงข้อมูลส่วนตัวของผู้ใช้ในระดับ premium ได้ จากเบอร์โทรศัพท์บนแอพลิเคชั่น WhatsApp

จากรายงานกล่าวว่า แอพลิเคชั่นดังกล่าวถูกดาวน์โหลดไปแล้วประมาน 1.2 ล้านคน

ที่มา : ehackingnews

Android SMS malware hosted on Google Play infects 1.2 Million users

นักวิจัยด้านความปลอดภัยจาก Panda Labs พบว่ามีมัลแวร์แอบแฝงอยู่ในแอพลิเคชั่นบน Google play ส่วนใหญ่แล้วผู้ที่ได้รับผลกระทบมากที่สุดคือ ผู้ใช้จากประเทศสเปน

โดยมีแอพพลิเคชั่นดังนี้

Peinados Fáciles (Easy Hairdos)
Dietas para Reducir el Abdomen (Abs Diets)
Rutinas Ejercicios para el Gym (Workout Routines)
Cupcakes Recetas (Cupcake Recipes)

เมื่อเครื่องติดมัลแวร์ดังกล่าว แฮกเกอร์จะเข้าถึงข้อมูลส่วนตัวของผู้ใช้ในระดับ premium ได้ จากเบอร์โทรศัพท์บนแอพลิเคชั่น WhatsApp

จากรายงานกล่าวว่า แอพลิเคชั่นดังกล่าวถูกดาวน์โหลดไปแล้วประมาน 1.2 ล้านคน

ที่มา : ehackingnews

Advertising SDK delivers Android scareware, victims signed up with a premium-rate ringtone

นักวิจัยของ Bitdefender ได้ค้นพบแอพลิเคชั่นบนระบบปฏิบัติการ Android ที่มีการทำโฆษณาไว้ในแอพพลิเคชั่น โดยพบว่าจะมีข้อความปลอมขึ้นมาแจ้งเตือน ตัวอย่างเช่น แอพพลิเคชั่นที่ชื่อว่า "Brightest Flashlight Free" ซึ่งเป็นแอพฯ ที่มีอยู่บน Google Play โดยแอพฯ ดังกล่าวมีการแจ้งเตือนว่าเครื่องของเหยื่อติดมัลแวร์เพื่อหลอกให้เหยื่อซื้อเครื่องมือในการกำจัดมัลแวร์ เมื่อเหยื่อเข้าไปยังลิงค์ที่แนบมาก็จะถูกขอให้กรอกหมายเลขโทรศัพท์เพื่อดาวน์โหลดเครื่องมือกำจัดมัลแวร์ เมื่อเหยื่อหลงเชื่อกรอกหมายเลขโทรศัพท์ลงไปมัลแวร์จะทำการนำหมายเลขดังกล่าวไปลงทะเบียนกับบริการริงโทนและวอลล์เปเปอร์ซึ่งจะเสียค่าบริการ 3 ยูโร ต่อสัปดาห์ โดยที่เหยื่อไม่รู้ตัว
นักวิจัยได้กล่าวว่า ผู้ให้บริการโฆษณาไม่ทราบว่าบริการของพวกเขาถูกผู้ประสงค์ร้ายใช้งานการส่งมัลแวร์ หากผู้ใดตกเป็นเหยื่อในการหลอกลวงนี้ สามารถส่ง SMS การยกเลิกการเป็นสมาชิกไปยัง T & C ของเว็บไซต์ และรีบถอดถอนการติดตั้งแอพลิเคชั่นที่เพิ่งดาวน์โหลดมาใช้งาน

ที่มา : ehackingnews