พบมัลแวร์ตัวใหม่ที่ใช้ช่องโหว่ของการทับซ้อนหน้าจอบน Android ที่ติดตั้งไว้ก่อนหน้านี้ ทำให้สามารถติดตั้งมัลแวร์เพิ่มเติมและใช้สิทธิ์ต่างๆ ในการเข้าถึงโทรศัพท์ได้

มัลแวร์นี้มีชื่อว่า ToastAmigo ถูกตรวจพบโดย Trend Micro ว่าเป็น ANDROIDOS_TOASTAMIGO และใช้ประโยชน์จากช่องโหว่ชื่อ Toast รหัส CVE-2017-0752

ToastAmigo ถูกซ่อนอยู่ภายในแอปสองแอปที่มีอยู่ใน Google Play Store ภายใต้ชื่อ Smart AppLocker โดยแอปทั้งสองจะให้ผู้ใช้ตั้งค่า PIN เพื่อเปิดแอปพลิเคชัน ซึ่งแตกต่างจากระบบล็อคแบบเดิมของอุปกรณ์ แอปพลิเคชันตัวหนึ่งได้รับการดาวโหลดมากกว่า 500,000 ครั้ง ในวันที่ 6 พฤศจิกายน 2017

เมื่อผู้ใช้เปิดแอป ToastAmigo จะเปิดการโจมตี Toast Overlay โดยแสดงการแจ้งเตือนของ Toast ที่ครอบคลุมทั้งหน้าจอและแสดงหน้าตาของแอปปลอม ในความเป็นจริงด้านหลังของการแจ้งเตือน Toast จะอาศัยการควบคุม User Interface ของแอปจริง ซึ่งจะหลอกลวงให้ผู้ใช้เข้าถึงแอปพลิเคชันที่เป็นอันตรายในบริการ Android Accessibility ซึ่งเป็นฟีเจอร์ที่ทำให้แอปสามารถดำเนินการได้ในนามของผู้ใช้ ผู้ใช้งานที่ไม่สงสัยอาจคิดว่ากำลังโต้ตอบกับแอปจริงเอง

หลังจากที่ใช้การโจมตี Toast Overlay เพื่อเข้าถึงบริการ Android Accessibility ToastAmigo จะดำเนินการต่างๆ ตามลำดับอย่างรวดเร็วและติดตั้งแอปที่มีมัลแวร์ชื่อ AmigoClicker มัลแวร์ตัวที่สองนี้เป็น Adware ที่ติดตั้ง Proxy บนอุปกรณ์และโหลดโฆษณาเพื่อรับผลประโยชน์ทางการเงิน

ปัจจุบัน Google ได้ลบแอปพลิเคชันทั้งสองตัวออกจาก Play Store เรียบร้อยแล้ว วิธีการป้องกันตัวเองจาก ToastAmigo คือการตรวจสอบให้แน่ใจว่ามีการดาวโหลดแพชต์เดือนกันยายน ผู้ใช้ควรดาวโหลดแอปจาก Google Play เป็นหลัก

ที่มา : scmagazine