แคมเปญฟิชชิ่งทาง SMS มุ่งเป้าการโจมตีไปยังลูกค้าของธนาคารอินเดีย โดยการปลอมเป็นแอปพลิเคชันของธนาคารเพื่อที่จะใช้มัลแวร์ในการขโมยข้อมูล

ทีมนักวิจัยจาก Microsoft 365 Defender ระบุว่า ข้อความฟิชชิ่งจะมีลิงก์ที่เปลี่ยนเส้นทางของผู้ใช้งานไปยังเว็บไซต์ที่จะทำให้ผู้ใช้งานดาวน์โหลดแอปพลิเคชันปลอมของธนาคาร ICICI Bank

นักวิจัย Shivang Desai, Abhishek Pustakala และ Harshita Tripathi ระบุว่า "ความสามารถของมัลแวร์ทำให้ผู้โจมตีสามารถดักจับการแจ้งเตือนที่สำคัญของอุปกรณ์ เช่น ข้อความเข้า ซึ่งเป็นความพยายามในการดักจับข้อความจาก two-factor authentication (2FA)

รูปแบบการโจมตีเป็นรูปแบบเดียวกันกับ Social Engineering โดยปกติ เช่นใช้โลโก้ และชื่อแบรนด์ที่คุ้นเคย เพื่อหลอกให้ผู้ใช้งานติดตั้งแอปพลิเคชันปลอม

การโจมตีนี้เกิดขึ้นในลักษณะเดียวกันกับการเผยแพร่แอปธนาคารปลอมที่เกิดขึ้นกับธนาคารอินเดียอื่น ๆ เช่น State Bank of India (SBI) และ Axis Bank ในอดีต

เมื่อติดตั้งแล้ว แอปพลิเคชันปลอมไม่เพียงแต่ขอการอนุญาตในการเข้าถึงบัญชี แต่ยังขอให้ผู้ใช้งานป้อนข้อมูลบัตรเครดิต/เดบิตของตนซึ่งเป็นส่วนหนึ่งของกระบวนการลงชื่อเข้าใช้ ซึ่งในขณะนั้นโทรจันจะรอคำสั่งเพิ่มเติมจากผู้โจมตี

คำสั่งเหล่านี้จะทำให้มัลแวร์สามารถรวบรวมข้อมูลของระบบ บันทึกการโทร ดักจับการโทร ตลอดจนขโมยข้อมูลประจำตัวสำหรับบัญชีอีเมล เช่น Gmail, Outlook และ Yahoo

ที่มา : thehackernews

กลุ่มแฮ็กเกอร์กลุ่มใหม่ที่คาดว่าได้รับการสนับสนุนจากรัฐบาลอิหร่านชื่อ APT42 ถูกพบว่ามีการใช้มัลแวร์บน Android ที่ถูกสร้างขึ้นเพื่อโจมตีเป้าหมายที่ต้องการ

บริษัทผู้เชี่ยวชาญด้านความปลอดภัยทางอินเทอร์เน็ต ได้รวบรวมหลักฐานเพียงพอที่จะระบุได้ว่า APT42 เป็นกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลอิหร่าน ซึ่งมีส่วนเกี่ยวข้องในการสอดแนมทางอินเทอร์เน็ตต่อบุคคล และองค์กรที่รัฐบาลอิหร่านให้ความสนใจเป็นพิเศษ

APT42 ถูกพบครั้งแรกเมื่อ 7 ปีที่แล้ว และเกี่ยวข้องกับแคมเปญ spear-phishing ที่มุ่งเป้าไปที่เจ้าหน้าที่ของรัฐ ผู้กำหนดนโยบาย นักข่าว นักวิชาการทั่วโลก และผู้คัดค้านชาวอิหร่าน

เป้าหมายของแฮ็กเกอร์คือการขโมยข้อมูลบัญชี ในหลายกรณีกลุ่มแฮ็กเกอร์ยังติดตั้งมัลแวร์บน Android ที่สามารถติดตามการเข้าถึงอุปกรณ์ จัดเก็บ และดึงข้อมูลการสื่อสารของเหยื่อได้

เป้าหมายของแคมเปญ

จากข้อมูลของ Mandiant ผู้ค้นพบ APT42 พบว่ากลุ่ม APT42 ได้ปฏิบัติการมาแล้วอย่างน้อย 30 ครั้งใน 14 ประเทศตั้งแต่ปี 2558 ซึ่งอาจเป็นข้อมูลเพียงบางส่วนเท่านั้น

กลุ่ม APT42 เปลี่ยนเป้าหมายหลายครั้งเพื่อให้ตรงกับความสนใจในการรวบรวมข่าวกรองที่เปลี่ยนแปลงไป ตัวอย่างเช่น ในปี 2563 ใช้อีเมลฟิชชิงที่แอบอ้างเป็นผู้เชี่ยวชาญวัคซีนของมหาวิทยาลัยอ็อกซ์ฟอร์ดเพื่อกำหนดเป้าหมายเป็นบริษัทเภสัชภัณฑ์จากต่างประเทศ

ในปี 2564 APT42 ใช้ที่อยู่อีเมลขององค์กรสื่อของสหรัฐฯ ที่ถูกแฮ็ก เพื่อกำหนดเป้าหมายเหยื่อด้วยคำขอสัมภาษณ์ปลอม ๆ โดยทำการติดต่อกับพวกเขาเป็นเวลานานกว่า 37 วันก่อนที่จะโจมตีด้วยการหลอกเอาข้อมูล

ไม่นานมานี้ ในเดือนกุมภาพันธ์ พ.ศ. 2565 แฮ็กเกอร์ได้ปลอมเป็นสำนักข่าวของอังกฤษมีเป้าหมายเป็นอาจารย์ด้านรัฐศาสตร์ในเบลเยียม และสหรัฐอาหรับเอมิเรตส์

ในกรณีส่วนใหญ่ แฮ็กเกอร์จะมุ่งเป้าไปที่การเก็บรวบรวมข้อมูลประจำตัว โดยหลอกเหยื่อไปยังหน้าฟิชชิ่งที่ดูเหมือนเป็น login portals ที่ถูกต้อง ด้วยการส่งลิงก์ที่ถูกย่อให้สั้นลง หรือไฟล์แนบ PDF ที่นำไปสู่หน้าที่ให้กรอกข้อมูลประจำตัว รวมไปถึงเก็บข้อมูล MFA ได้ด้วย

Android malware

มัลแวร์บนอุปกรณ์ Android ที่ใช้ในแคมเปญของกลุ่ม APT42 จะช่วยให้ผู้โจมตีติดตามเป้าหมายได้อย่างใกล้ชิด ขโมยข้อมูลการโทร SMS และแอบบันทึกเสียง

Mandiant ระบุว่า “สปายแวร์บน Android นั้นแพร่กระจายไปยังเป้าหมายที่เป็นชาวอิหร่านเป็นหลัก ผ่านทางข้อความ SMS ที่มีลิงก์ไปยังแอพส่งข้อความหรือ VPN ที่สามารถช่วยหลีกเลี่ยงข้อจำกัดที่รัฐบาลกำหนด”

Mandiant ระบุในรายงานว่า “มัลแวร์ Android โจมตีบุคคลที่รัฐบาลอิหร่านให้ความสนใจและใช้วิธีการที่มีประสิทธิภาพ เพื่อให้ได้ข้อมูลที่สำคัญเกี่ยวกับเป้าหมาย รวมทั้งข้อมูลบนโทรศัพท์มือถือ รายชื่อผู้ติดต่อ และข้อมูลส่วนบุคคล”

Mandiant ยังรายงานการค้นพบแลนดิ้งเพจสำหรับการดาวน์โหลดแอป IM เป็นภาษาอาหรับ ดังนั้น ผู้โจมตีอาจติดตั้งมัลแวร์ Android นอกประเทศอิหร่านได้ด้วย

มัลแวร์ยังมีความสามารถในการบันทึกการใช้งานโทรศัพท์ เปิดไมโครโฟน และบันทึกภาพ และถ่ายภาพตามคำสั่ง อ่านข้อความ และติดตามตำแหน่ง GPS ของเหยื่อแบบ real time

ที่มา : bleepingcomputer

ผู้เชี่ยวชาญจาก Symentec พบพฤติกรรมการโจมตีที่มุ่งเน้นไปที่หน่วยงานรัฐในแถบเอเชีย เป้าหมายในครั้งนี้มีทั้งบริษัทการบินอวกาศและการป้องกันประเทศ, บริษัทโทรคมนาคมและองค์กรไอที โดยแฮ็กเกอร์ที่อยู่เบื้องหลังเหตุการณ์ดังกล่าวเป็นกลุ่มเดียวกับกลุ่มที่ใช้ "ShadowPad" RAT ในแคมเปญก่อนหน้านี้ แต่ในครั้งนี้ผู้โจมตีมีการใช้ Tools ที่หลากหลายมากขึ้นและจากการวิเคราะห์ของผู้เชี่ยวชาญ พบว่าการโจมตีนี้เกิดขึ้นตั้งแต่ต้นปี 2564 และยังดำเนินการต่อเนื่องมาจนถึงปัจจุบัน เป้าหมายของการโจมตีมีหน่วยงานรัฐดังต่อไปนี้

บริษัทส่วนงานราชการ/สำนักนายกรัฐมนตรี
สถาบันของรัฐที่เชื่อมโยงกับการเงิน
บริษัทการบินอวกาศและการป้องกันของรัฐ
บริษัทโทรคมนาคมของรัฐ
หน่วยงานด้านไอทีของรัฐ
หน่วยงานสื่อของรัฐ

ลักษณะการโจมตี

การโจมตีเริ่มต้นด้วยการติดตั้งไฟล์ . DLL ที่เป็นอันตราย โดยใช้วิธีการ Execute จากโปรแกรมปกติที่ที่อยู่บนเครื่องเพื่อโหลดไฟล์ .dat จากนั้นไฟล์จะถูกส่งไปยังเครื่องเป้าหมายผ่านวิธีการ side-loaded ซึ่งในครั้งนี้ผู้โจมตีใช้ Bitdefender Crash Handler ที่มีอายุ 11 ปีในการโจมตี
เมื่อไฟล์ .dat เข้ามาในเครื่องแล้ว ข้างในจะมีเพย์โหลดที่ประกอบไปด้วย Shellcode อยู่ ซึ่ง Shellcode นี้สามารถใช้คำสั่งเพื่อดึงเพย์โหลดอื่นๆ ที่เป็นอันตรายมาติดตั้งเพิ่มเติมได้ โดยเป็นการเรียกจาก Memory โดยตรง
สามวันหลังจาก Backdoor ถูกติดตั้งบนเครื่องเป้าหมาย ผู้โจมตีได้ทำการติดตั้งโปรแกรม ProcDump ลงไปเพื่อขโมย Credential ของผู้ใช้งานจาก Local Security Authority Server Service (LSASS) ซึ่งในวันเดียวกัน ทีม Penetration Testing ของบริษัท LadonGo ได้ทดสอบเจาะระบบโดยใช้วิธี DLL hijacking เพื่อทำการ side-loaded ด้วยเช่นกัน
อีกสองสัปดาห์ต่อมา ผู้โจมตีได้ทำการติดตั้ง Mimikatz ซึ่งเป็นหนึ่งในเครื่องมือที่ใช้กันแพร่หลายในการขโมยข้อมูลประจำตัว
ต่อมา ผู้โจมตีเริ่มมีการใช้ PsExec ในการเรียกใช้งาน Crash Handler เพื่อทำการ DLL hijacking ติดตั้งโหลดเพย์โหลดบนคอมพิวเตอร์อื่น ๆ ในเครือข่าย
หนึ่งเดือนหลังจากการโจมตีครั้งแรก ผู้โจมตีได้สิทธิ์ High Privileged บนระบบที่สามารถสร้าง Account ใหม่ได้ นอกจากนี้ยังได้รับสิทธิ์ในการเข้าสู่ User Credentials และ log files บน Active Direcory ได้อีกด้วย
เหตุการณ์สุดท้าย พบว่าผู้โจมตีมีการใช้ Fscan ในการโจมตีผ่านช่องโหว่ CVE-2021-26855 (Proxylogon) บน Exchange Servers บนเครือข่าย

จากเหตุการณ์ดังกล่าว ผู้เชี่ยวชาญพบหนึ่งใน Tools ที่ใช้ในการโจมตีครั้งนี้คือ (Infostealer.

Lampion Malware กลับมาแพร่กระจายในจำนวนมากอีกครั้ง ผ่านแคมเปญฟิชชิ่งโดยการใช้ WeTransfer

WeTransfer เป็นบริษัท File-Share ที่เป็นที่รู้จัก และสามารถใช้งานได้ฟรี ดังนั้นผู้โจมตีไม่ต้องลงทุนหาวิธีในการหลีกเลี่ยงการตรวจจับจากซอฟแวร์ด้านความปลอดภัย เมื่อมีการแนบ URL ของ WeTransfer มาใน Email

จากรายงานของบริษัทด้าน Email Security อย่าง Cofense ระบุว่า Lampions ได้ส่ง Phishing Email จากบัญชีบริษัทที่ถูกโจมตี และโน้มน้าวให้ผู้ใช้งานทำการดาวน์โหลดเอกสาร "หลักฐานการชำระเงิน" จาก WeTransfer

เมื่อทำการดาวน์โหลด ไฟล์ที่เป้าหมายได้รับจะเป็น ZIP file ที่มี File VBS(Virtual Basic script) อยู่ด้วย และเหยื่อจะต้องเปิดไฟล์เพื่อดำเนินการต่อไป

จากนั้น WScript จะสร้าง VBS ไฟล์มาทั้งหมด 4 ไฟล์ ด้วยการสุ่มชื่อ โดยไฟล์แรกจะเป็นไฟล์เปล่า ๆ ไฟล์ที่ 2 จะมี function การทำงานเล็กน้อย ไฟล์ที่ 3 จะใช้เพื่อรัน script ของไฟล์ที่ 4

นักวิเคราะห์ของ Cofense ระบุว่ามีขั้นตอนพิเศษบางอย่างที่ยังไม่ชัดเจน แต่การโจมตีในลักษณะแยกส่วนแบบนี้เพื่อทำให้ผู้โจมตีสามารถสลับไฟล์ที่ใช้ได้ง่าย

script ไฟล์ที่ 4 นั้น จะทำการเปิด WScript ใหม่เพื่อเชื่อมต่อกลับไปยัง URL hardcode สองรายการ เพื่อไปดึงไฟล์ DLL สองไฟล์ที่ซ่อนอยู่ภายในไฟล์ ZIP ที่ใส่รหัสผ่าน โดย URL จะชี้ไปที่ instances บน Amazon AWS

รหัสผ่านของไฟล์ ZIP นั้นคือ hardcode ที่อยู่ภายใน script ทำให้การแตกไฟล์นั้นไม่จำเป็นต้องให้เหยื่อดำเนินการ จากนั้น DLL payload จะถูกโหลดลงใน memory ทำให้ Lampion สามารถดำเนินการอย่างเงียบ ๆ ได้

จากนั้น Lampion จะทำการขโมยข้อมูลบัญชีธนาคารจากเครื่องเป้าหมายด้วยการแทรก login forms ซ้อนทับบนแบบฟอร์ม login ตามปกติ เมื่อผู้ใช้งานใส่ข้อมูลเพื่อทำการเข้าสู่ระบบ ข้อมูลนั้นจะถูกขโมย และส่งไปยัง C2 ของผู้โจมตี

Trojan Lampion ถูกพบมาตั้งแต่ปี 2019 โดยมุ่งเป้าไปที่ผู้ใช้ภาษาสเปน ต่อมาในปี 2021 Lampion ถูกพบว่าใช้ Malware บนบริการของ cloud เป็นครั้งแรก รวมถึง Google Drive และ pCloud และล่าสุดเมื่อ มีนาคม 2022 Cyware ได้รายงานว่ามีการแพร่กระจายด้วยการใช้ hostname ที่มีส่วนเกี่ยวข้องกับกลุ่ม Bazaar และ LockBit อีกทั้งยังมีรายงานอีกว่า Lampion พยายามเขียน Malware ให้มีความซับซ้อน และวิเคราะห์ได้ยากยิ่งขึ้น

สุดท้ายนี้รายงานล่าสุดของ Cofense ระบุว่า Lampion เป็นภัยคุกคามที่ยังคงอันตรายอยู่ และแนะนำให้ผู้ใช้งานควรระมัดระวังการใช้งาน Email ที่ขอให้ดาวน์โหลดไฟล์แม้ไฟล์นั้นจะอยู่บน Cloud service ที่เป็นที่รู้จักก็ตาม

ที่มา: bleepingcomputer

 

มัลแวร์บน IoT ตัวใหม่ RapperBot ถูกพบว่ามีการพัฒนาความสามารถขึ้นอย่างรวดเร็วตั้งแต่ที่ถูกพบครั้งแรกเมื่อช่วงกลางเดือนมิถุนายน 2022 “มัลแวร์ตัวนี้นำ Source code ส่วนใหญ่มาจาก Mirai botnet แต่สิ่งที่แตกต่างจากมัลแวร์ IoT ตัวอื่น ๆ คือความสามารถแบบ Built-in ในการ Brute-force Credentials และเข้าถึง SSH Server แทนการเข้าถึง Telnet เหมือนอย่าง Mirai botnet” Fortinet FortiGuard Labs ระบุในรายงาน
ชื่อของมัลแวร์ตัวนี้ได้มาจากการที่มี URL ที่ลิงก์ไปยังวิดีโอเพลงแร็ปบน Youtube ในเวอร์ชันแรก ๆ ปัจจุบันพบว่าจำนวน SSH Server ที่ถูกเข้าควบคุมมีเพิ่มมากขึ้น โดยมัลแวร์ตัวนี้ได้ใช้ Unique IP addresses มากกว่า 3,500 IP ในการ Scan และ Brute-force ไปยัง Server ต่าง ๆ

(more…)

แฮ็กเกอร์ใช้วิธีการซ่อนมัลแวร์ใน Windows Event Logs

นักวิจัยด้านความปลอดภัยได้ตรวจพบแคมเปญการโจมตีซึ่งใช้ Windows event logs เพื่อจัดเก็บมัลแวร์ ซึ่งเป็นเทคนิคที่ไม่เคยถูกใช้ในการโจมตีมาก่อน โดยวิธีการนี้ทำให้ผู้โจมตีสามารถวาง fileless มัลแวร์ บน file system ได้ ซึ่งวิธีการนี้จะประกอบไปด้วยเทคนิค และโมดูลที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับเป็นจำนวนมาก

การเพิ่ม Payload ไปยัง Windows event logs

นักวิจัยจาก Kaspersky ได้รวบรวมตัวอย่างมัลแวร์ที่สามารถตรวจจับได้ และถูกระบุว่าเป็นภัยคุกคามบนคอมพิวเตอร์ของผู้ใช้งาน จากการตรวจสอบพบว่ามัลแวร์เป็นส่วนหนึ่งของแคมเปญ “very targeted” และมีการใช้ชุดเครื่องมือจำนวนมากที่เป็นทั้งแบบ Custom และที่มีจำหน่ายในเชิงพาณิชย์

โดยส่วนที่น่าสนใจของการโจมตีคือการ injecting shellcode payloads เข้าไปใน Windows event logs สำหรับ Key Management Services (KMS) ซึ่งเป็นการดำเนินการโดย custom malware dropper

Denis Legezo หัวหน้านักวิจัยด้านความปลอดภัยของ Kaspersky กล่าวว่าวิธีนี้ถูกใช้เป็นครั้งแรกในแคมเปญการโจมตีจากมัลแวร์

โดยตัว Dropper จะคัดลอกไฟล์จัดการ OS error ที่ชื่อไฟล์ว่า WerFault.

แคมเปญฟิชชิ่งมัลแวร์ Emotet กลับมาทำงานอีกครั้งหลังจากที่แฮ็กเกอร์ได้แก้ไขข้อผิดพลาดที่ทำให้ผู้ใช้ไม่ติดมัลแวร์แม้จะเปิดไฟล์แนบจากอีเมลที่เป็นอันตราย

Emotet เป็นมัลแวร์ที่แพร่กระจายผ่านแคมเปญสแปม ซึ่งมีไฟล์แนบที่เป็นอันตราย หากผู้ใช้เปิดไฟล์แนบ สคริปต์จะดาวน์โหลด Emotet DLL และโหลดลงในหน่วยความจำ เมื่อโหลดแล้ว มัลแวร์จะค้นหา และขโมยอีเมลเพื่อใช้ในแคมเปญสแปมในอนาคต และลงเพย์โหลดอื่นๆทิ้งไว้ เช่น Cobalt Strike หรือมัลแวร์อื่นๆ ที่มักนำไปสู่การโจมตีของแรนซัมแวร์

(more…)

กลุ่มแฮ็กเกอร์ที่เรารู้จักในชื่อ Haskers Gang ได้ปล่อยมัลแวร์ขโมยข้อมูล ZingoStealer ออกมาฟรี เพื่อช่วยให้กลุ่มอาชญากรกลุ่มอื่นๆ ใช้เครื่องมือนี้เพื่อแสวงหาผลประโยชน์ได้

นักวิจัยของ Cisco Talos กล่าวว่า "มัลแวร์มีความสามารถในการขโมยข้อมูล และสามารถดาวน์โหลดมัลแวร์อื่นๆเพิ่มเติมไปยังระบบที่ถูกควบคุมได้

นับตั้งแต่ถูกพบเมื่อเดือนที่แล้ว ZingoStealer มีการพัฒนาอย่างต่อเนื่อง และเน้นเป้าหมายเฉพาะกับเหยื่อที่พูดภาษารัสเซีย โดยใส่ลงในเกม และซอฟต์แวร์ที่ละเมิดลิขสิทธิ์ โดย Haskers Gang เป็นที่รู้จักมาตั้งแต่อย่างน้อยมกราคมปี 2020

นอกเหนือจากการรวบรวมข้อมูลที่มีความสำคัญ เช่น ข้อมูลการเข้าสู่ระบบ การขโมยข้อมูลกระเป๋าเงิน cryptocurrency และการขุด cryptocurrency ในระบบของเหยื่อ มัลแวร์จะใช้เทเลแกรมเป็นทั้งช่องทางการเผยแพร่ข้อมูลที่ขโมยมา และการเผยแพร่การอัปเดต

โดยผู้ต้องการใช้งาน ZingoStealer สามารถเลือกที่จะจ่ายเงินประมาณ 3 ดอลลาร์เพื่อเข้ารหัสมัลแวร์ในโปรแกรมเข้ารหัสแบบกำหนดเองที่เรียกว่า ExoCrypt ซึ่งทำให้สามารถเลี่ยงการป้องกันไวรัสโดยไม่ต้องพึ่งพาโซลูชันการเข้ารหัสจากที่อื่น

การรวมซอฟต์แวร์การขุด cryptocurrency XMRig เข้ากับ Stealer

นักวิจัยอ้างว่าการรวมแพ็คเกจซอฟต์แวร์ขุดคริปโตเคอเรนซี XMRig เข้ากับตัว Stealer ** นั้นเป็นความพยายามของผู้เขียนมัลแวร์เพื่อสร้างรายได้ สำหรับการขุดเหรียญ Monero

ในส่วนของ ZingoStealer นั้น ถูกออกแบบเป็น .NET binary ที่สามารถรวบรวมข้อมูลที่บันทึกโดยเว็บเบราว์เซอร์เช่น Google Chrome, Mozilla Firefox, Opera และ Opera GX ยิ่งไปกว่านั้น มัลแวร์ได้รับการติดตั้งเพื่อปรับใช้ตามความวัตถุประสงค์ของผู้โจมตี เช่น RedLine Stealer ซึ่งเป็นตัว Stealer ที่มีฟังก์ชันมากมาย ซึ่งจะขโมย knowledge จากแอปพลิเคชัน เบราว์เซอร์ กระเป๋าสตางค์ และส่วนเสริมของสกุลเงินดิจิทัลมากมาย แสดงให้เห็นว่าเหตุใดผู้สร้างมัลแวร์จึงให้ ZingoStealer โดยไม่มีค่าใช้จ่าย

"ดังนั้นผู้ใช้ควรตระหนักถึงภัยคุกคามที่เกิดจากแอปพลิเคชันประเภทนี้ และตรวจสอบให้แน่ใจว่าใช้งานเฉพาะแอปพลิเคชันที่แจกจ่ายผ่านกลไกที่ถูกต้องเท่านั้น" นักวิจัยกล่าว

ที่มา: thecybersecurity.

มัลแวร์ SharkBot ได้แทรกซึมเข้าไปอยู่ใน Google Play Store โดยปลอมตัวเป็นโปรแกรมป้องกันไวรัส

แม้ว่าตัวแอปยังไม่เป็นที่นิยม หรือถูกดาวน์โหลดไปมากนัก แต่การที่ตัวแอปยังสามารถอยู่บน Play Store ได้ แสดงให้เห็นว่าผู้เผยแพร่มัลแวร์ยังคงสามารถหลบเลี่ยงการตรวจจับของ Google ได้เป็นอย่างดีจนถึงปัจจุบัน

แอพพลิเคชั่นบน Android ที่จริง ๆ แล้วคือ SharkBot

รายละเอียดผู้เผยแพร่บน Play Store

SharkBot สามารถทำอะไรได้บ้าง?

มัลแวร์ดังกล่าวถูกค้นพบครั้งแรกโดย Cleafy ในเดือนตุลาคม 2564 โดยฟีเจอร์ที่สำคัญที่สุด ที่ทำให้แตกต่างจาก Banking Trojan อื่น ๆ คือการโอนเงินผ่านระบบโอนอัตโนมัติ (ATS) บนอุปกรณ์ที่ถูกควบคุม

(more…)

มัลแวร์ Xenomorph ที่ถูกเผยแพร่ผ่านทาง Google Play Store ได้ถูกติดตั้งบนอุปกรณ์ Android มากกว่า 50,000 เครื่องเพื่อขโมยข้อมูลธนาคาร โดย Xenomorph มีเป้าหมายที่จะขโมยข้อมูลที่มีความสำคัญทางด้านการเงิน เข้าครอบครองบัญชี แอบทำธุรกรรม จากนั้นก็ขายข้อมูลที่ถูกขโมยให้กับผู้ซื้อที่สนใจ

ความสามารถของมัลแวร์ Xenomorph
มัลแวร์ Xenomorph ถูกนำเข้าสู่ Google Play Store ผ่านแอพพลิเคชันประเภท Perfomance-boosting เช่น "Fast Cleaner" ซึ่งพบการติดตั้งไปแล้วกว่า 50,000 ครั้ง (โดยไฟล์การติดตั้งในครั้งแรกจะมีขนาดไฟล์ที่ไม่ใหญ่มาก และตัวมันจะทำการดาวน์โหลดเพิ่มเติมในภายหลังเพื่อลดความน่าสงสัย)

Xenomorph Android อยู่ระหว่างการพัฒนาดังนั้นความสามารถ และฟังก์ชันต่าง ๆ ยังไม่เยอะมาก อย่างไรก็ตามมันยังคงเป็นภัยคุกคามที่สำคัญ ตัวอย่างเช่น มัลแวร์สามารถดักการแจ้งเตือน และบันทึก SMS ที่ส่งเข้ามาได้ ทำให้ผู้โจมตีสามารถดักเอา OTP ที่ถูกส่งเข้ามาที่เครื่องในการทำธุรกรรมได้ เป็นต้น หลังจากการติดตั้งแอพพลิเคชันจะส่งรายการแพ็กเกจที่ติดตั้งบนอุปกรณ์ที่ติดไวรัสเพื่อติดตั้ง Payload ต่าง ๆ และแก้ไข หรือร้องขอสิทธิต่าง ๆ ในการเข้าถึงแอพพลิเคชันอื่นๆเพิ่มเติม

ควรหลีกเลี่ยงการติดตั้งแอพพลิเคชันที่มีความสามารถที่ดูเกินจริง การตรวจสอบรีวิวของผู้ใช้รายอื่นอาจช่วยหลีกเลี่ยงแอพพลิเคชันที่เป็นอันตรายได้

ที่มา : Bleepingcomputer