เตือนภัยชาว Android ระวังแอปอันตรายบน Play Store ทำตัวเป็นสายลับ แอบเปิดบ้านให้มัลแวร์โจมตี

CYFIRMA บริษัทด้านความปลอดภัยไซเบอร์จากสิงคโปร์ ตรวจพบแอปพลิเคชันต้องสงสัยบน Play Store ในเครือ  “SecurITY Industry” ได้แก่ Device Basic Plus, nSure Chat และ iKHfaa VPN

จากการตรวจสอบด้วยกระบวนการทางเทคนิค พบว่า แอปเหล่านี้มีลักษณะการทำงานที่เข้าข่ายมัลแวร์ และเป็นการโจมตีแบบภัยคุกคามขั้นสูง (APT) ที่เจาะจงเป็นรายบุคคล โดยมีกลุ่มที่ใช้ชื่อว่า “DoNot” อยู่เบื้องหลัง มีเป้าหมายในการโจมตีหลัก ๆ ในปากีสถานและประเทศแถบเอเชียใต้ 

แอปอันตรายเหล่านี้มีจุดประสงค์หลักคือการเปิดช่องโหว่ความปลอดภัยของสมาร์ทโฟนเป้าหมาย เพื่อเตรียมพร้อมสำหรับการโจมตีด้วยมัลแวร์อื่น ๆ ในขั้นต่อไป (เหมือนส่งสายลับมาเปิดประตูเมืองให้) โดยใช้ชุดคำสั่ง Android ในการแกะรายชื่อผู้ติดต่อและหาตำแหน่งของเหยื่อ และมีการคัดลอกโค้ดอันตรายลงไปในแฝงในชุดคำสั่งของ Android เพื่อหลอกให้ระบบดึงโค้ดอันตรายขึ้นมาใช้ และเปิดช่องโหว่ขึ้นในระบบ จากนั้นจะหลอกให้เหยื่อกดลิงค์ใน Telegram หรือ WhatsApp เพื่อติดตั้งแอปอันตรายลงในเครื่อง

CYFIRMA พบว่า ตัวแอปมีการเข้ารหัสแบบ AES/CBC/PKCS5PADDING และใช้เทคนิคแปลงโค้ด (obfuscation) ด้วย Proguard เพื่ออำพรางคุณลักษณะอันตรายของแอป ซึ่งเป็นวิธีการเดียวกันกับที่กลุ่ม DoNot ใช้ ทำให้ตรวจจับยาก

ยังไม่ทราบว่าแอปอันตรายเหล่านี้ผ่านการตรวจสอบจาก Google จนขึ้นมาบน Play Store ได้อย่างไร แต่ปัจจุบันแอป Device Basic Plus และ nSure Chat ยังไม่ถูกถอดออกจาก Play Store จึงควรหลีกเลี่ยงแอปทั้งสองตัวนี้ไว้ครับ

ที่มา : Gizmochina

วันที่ : 20/6/2566