คลังเก็บป้ายกำกับ: ANDROID_MALWARE

Check Point พบมัลแวร์บนแอนดรอยด์ปลอมเป็น Netflix และแพร่กระจายผ่าน WhatsApp

Check Point ได้เผยแพร่พฤติกรรมของมัลแวร์ตัวหนึ่งใน Play Store ซึ่งมีความน่าสนใจคือเริ่มต้นจากการล่อลวงเป็นแอปที่ช่วยดู Netflix แต่เมื่อดาวน์โหลดมาแล้วจะสามารถส่งข้อความอัตโนมัติโฆษณาเกี่ยวกับ Netflix ใน WhatsApp เพื่อหาเหยื่อเพิ่ม

credit : Check Point

ไอเดียคือคนร้ายได้โฆษณาแอปพลิเคชันอันตรายที่ชื่อว่า FlixOnline (ตามภาพประกอบ) ซึ่งโฆษณาว่าแอปนี้จะช่วยให้ผู้ใช้สามารถดู Content ของ Netflix จากทั่วโลกได้ อย่างไรก็ดีเมื่อดาวน์โหลดมาแล้วจะเข้าไปมอนิเตอร์การสนทนาของ WhatsApp และสามารถ Auto Reply ด้วยข้อความที่รับมาจากเซิร์ฟเวอร์ควบคุมได้ โดยเนื้อหาที่ทีมงาน Check Point พบก็คือโฆษณาล่อลวงฟรี Netflix Premium 2 เดือน เพื่อกระจายตัวเองต่อไป

เจาะลึกถึงพฤติกรรม

เมื่อเหยื่อติดตั้งแอปพลิเคชัน FlixOnline เข้ามาแล้ว จะมีการขอสิทธิ์ 3 เรื่องคือ

  • Overlay – อนุญาตให้สร้างหน้าต่างอยู่บนแอปพลิเคชันอื่นได้ ซึ่งนิยมกันในคนร้ายที่สร้างหน้าล็อกอินปลอมสำหรับแอปอื่นๆ เพื่อหลอกขโมย Credentials
  • Ignore Battery Optimization – มัลแวร์จะไม่ถูกหยุดแม้จะอยู่ในสถานะ Idle ซึ่งปกติแล้วแอปจะถูกหยุดเมื่อไม่ได้ใช้
  • Notification Listener Service – ช่วยให้มัลแวร์สามารถเข้าถึงทุก Notification ที่เกี่ยวข้องกับข้อความที่เข้ามายังอุปกรณ์ ซึ่งยังเปิดให้มัลแวร์สามารถทำการ Dismiss และ Reply ข้อความได้ 

โดย Check Point ได้สรุปถึงผลลัพธ์ของมัลแวร์ไว้ว่าจะสามารถแพร่กระจายลิงก์อันตรายเพื่อหาเหยื่อต่อในรายชื่อของ WhatsApp หรือการ Auto Reply รวมถึงยังสามารถขโมยข้อมูลผู้ใช้ WhatsApp ได้ ทั้งนี้ Google ได้ลบแอปออกจาก Play Store เป็นที่เรียบร้อยแล้ว ซึ่งทีมงาน Check Point ได้ฝากให้ทุกท่านระมัดระวังการคลิกลิงก์ที่มีความน่าสนใจแม้จะมาจากบุคคลที่น่าเชื่อถือก็ตาม ไม่ว่าจากช่องทางใดเพื่อเป็นการป้องกันตัวเบื้องต้นจากการตกเป็นเหยื่อของมัลแวร์

ที่มา : https://blog.checkpoint.com/2021/04/07/autoreply-attack-new-android-malware-found-in-google-play-store-spreads-via-malicious-auto-replies-to-whatsapp-messages/

from:https://www.techtalkthai.com/check-point-discloses-malicious-android-app-pose-as-netflix-spread-via-whatsapp-autoreply/

นักวิจัยเตือนมัลแวร์บนแอนดรอยด์ใหม่แฝงตัวเป็น ‘System Update’

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยบนมือถือจาก Zimperium ได้แจ้งเตือนพบมัลแวร์ที่แฝงตัวมากับแอป System Update ที่มาจากร้านค้าแอปนอก App Store

ที่มาของมัลแวร์ตัวนี้ค่อนข้างจำกัดเพราะติดเข้ามากับร้านค้าแอปของ 3rd-party ที่ไม่ใช่ Play Store ด้วยเหตุนี้หากผู้ใช้ไม่ไปดาวน์โหลดแอปจากข้างนอกเข้ามาก็ไม่น่าจะเสี่ยงติดมัลแวร์ตัวนี้ อย่างไรก็ดีหากพูดถึงพฤติกรรมของมัลแวร์ตัวนี้มีความสามารถขโมยข้อมูลมากมายเพื่อส่งออกไปยัง Firebase Server ดังนี้

  • ขโมยข้อความใน Instant Messenger
  • ขโมยข้อมูลใน Instant Messenger ในไฟล์ฐานข้อมูล (หากได้สิทธิ์ Root)
  • เข้าถึง bookmark ใน Default Browser และการค้นหาต่างๆ
  • ดูประวัติการค้นหาใน Chrome, Mozilla และ Samsung Browser
  • ค้นหาไฟล์แบบเจาะจงนามสกุลเช่น .pdf, .doc, .docx, .xls และ .xlsx
  • ลอบดูข้อมูลใน Clipboard
  • บันทึกเสียงและการโทร
  • ดูการแจ้งเตือนต่างๆ
  • ดูรายการติดตั้งแอปในเครื่อง
  • ขโมย SMS, รายชื่อผู้ติดต่อ ประวัติการติดต่อ รวมถึงข้อมูลตัวเครื่อง
  • ติดตามพิกัด GPS
  • ขโมยรูปภาพและวีดีโอ

ความน่าสนใจคือมัลแวร์ได้ประพฤติตัวอย่างแนบเนียนให้ใช้แบนวิธด์ต่ำ ในการขโมยข้อมูลด้วยการเก็บแค่ Thumbnail ของไฟล์ภาพหรือวีดีโอเท่านั้น รวมถึงจะ Trigger การใช้งานฟังก์ชัน ConsentObserver และ Broadcast Receiver เมื่อตรงกับเงื่อนไขบางอย่างเท่านั้นเช่น มีรายชื่อผู้ติดต่อถูกเพิ่มเข้ามา หรือมีข้อความใหม่ๆ นอกจากนี้ยังซ่อนไอคอนที่ปรากฏในเมนูด้วย 

ทั้งนี้แม้การแพร่กระจายจะเกิดขึ้นได้จำกัดแต่หากเข้ามาได้แล้ว มัลแวร์ตัวนี้ก็นับว่าเป็นมัลแวร์ที่มีฟังก์ชันการขโมยข้อมูลอย่างสมบูรณ์ตัวหนึ่ง ซึ่งผู้ใช้ก็หลีกเลี่ยงเบื้องต้นได้ด้วยการไม่ดาวน์โหลดแอปนอก Play Store ศึกษารายงานฉบับเต็มจาก Zimperium ได้ที่ https://blog.zimperium.com/new-advanced-android-malware-posing-as-system-update/

ที่มา : https://www.bleepingcomputer.com/news/security/new-android-malware-spies-on-you-while-posing-as-a-system-update/ และ https://techcrunch.com/2021/03/26/android-malware-system-update/

from:https://www.techtalkthai.com/new-malware-posing-as-system-update/

พบมัลแวร์ตัวใหม่ ‘BlackRock’ ขโมยข้อมูลแอปบนแอนดรอยด์ได้ว่า 337 แอปพลิเคชัน

ThreatFabric ผู้เชี่ยวชาญด้าน Mobile Security ได้ออกเตือนถึงการค้นพบมัลแวร์ตัวใหม่บนแอนดรอยด์ที่ชื่อ BlackRock โดยความน่าสนใจคือการที่สามารถขโมยข้อมูลแอปพลิเคชันได้จำนวนมากในหลายประเภท

credit : Zdnet

BlackRock พัฒนาต่อยอดมาจากมัลแวร์เก่าๆ ตามภาพด้านบน ซึ่งในเวอร์ชันล่าสุดมัลแวร์สามารถขโมย Credentials ของแอปพลิเคชันได้ถึง 337 แอปพลิเคชัน โดยเน้นหนักไปทาง Financial หรือ Social Media แต่ก็ยังรวมไปถึงแอปพลิเคชันหาคู่ ข่าวสาร ไลฟ์สไตล์ และอื่นๆ ทั้งนี้เทคนิคที่ใช้คือการสร้างหน้าต่างกรอกข้อมูลมาครอบการเรียกใช้งานล็อกอินของแอปพลิเคชันจริง

อย่างไรก็ดีผู้เชี่ยวชาญพบว่ามัลแวร์ยังใช้เทคนิคเดิมตามแนวทางของมัลแวร์ที่เคยมีมาบนแอนดรอยด์คือขอใช้ฟีเจอร์ Accessibility (ฟีเจอร์ที่สามารถทำงานแทนผู้ใช้งานได้อย่างอัตโนมัติ) เมื่อได้มากแล้วมัลแวร์จะให้สิทธิตัวเองเข้าถึงสิทธิ์อื่นๆ และใช้ Device Policy Controller ให้สิทธิ์ผู้ดูแลแก่ตัวเอง นอกจากนี้ผู้เชี่ยวชาญยังพบพฤติกรรมคุกคามอื่นร่วมด้วยเช่น การดักจับข้อความ สแปม และ Flood SMS และฟังก์ชัน Keylogger รวมถึงทำลายแอปพลิเคชัน Antivirus บทแอนดรอยด์

สำหรับการแพร่กระจายเบื้องต้นยังพบว่าผ่านมาทางแพ็กเกจ Google Update ปลอมที่ดาวน์โหลดผ่าน Third-party เข้ามา แต่ก็เป็นไปได้ที่ในอนาคตคนร้ายอาจหาทางเลี่ยงการตรวจสอบของ Google Play เข้ามาปล่อยของได้

ที่มา :  https://www.zdnet.com/article/new-blackrock-android-malware-can-steal-passwords-and-card-data-from-337-applications/

from:https://www.techtalkthai.com/new-android-malware-blackrock-targets-to-steal-data-about-337-applications/

พบมัลแวร์บนแอนดรอยด์ลอบขโมยโค้ด 2FA จาก Google Authenticator

ผู้เชี่ยวชาญจาก ThreatFabric ได้ออกเตือนว่าเริ่มพบ Banking Trojan ที่มีความสามารถในการขโมยโค้ด 2FA ที่ได้จาก Google Authenticator บนแอนดรอยด์

Google Authenticator เป็นแอปพลิเคชันมือถือตัวหนึ่งจาก Google ที่ใช้รับโค้ด 2-Factor ซึ่งความน่ากังวลคือมีการค้นพบว่า Banking Trojan ‘Cerberus’ ได้มีความสามารถในการ Bypass 2FA ด้วยการลอบขโมยโค้ดที่ได้รับจากแอปพลิเคชันแล้ว ด้วยความสามารถ Accessibility ของ Android ที่ออกแบบมาสำหรับผู้พิการทำให้สามารถปฏิสัมพันธ์กับ UI ได้โดยอัตโนมัติแทนผู้ใช้

อย่างไรก็ตามปัจจุบัน Cerberus ที่ขายกันในท้องตลาดยังไม่มีติดอาวุธนี้ ซึ่งเชื่อว่ายังอยู่ในขั้นทดลอง ผู้สนใจสามารถติดตามเพิ่มเติมได้ที่นี่

ที่มา :  https://www.zdnet.com/article/android-malware-can-steal-google-authenticator-2fa-codes/

from:https://www.techtalkthai.com/cerberus-banking-trojan-can-steal-google-authenticator-code/

พบช่องโหว่กระทบ Android ทุกเวอร์ชัน ‘StrandHogg’ ถูกใช้โจมตีจริงแล้ว

ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยสัญชาติสวีเดนหรือ Promon ได้ออกมาเตือนถึงช่องโหว่ที่ชื่อ ‘StrandHogg’ โดยสามารถนำไปสู่การ Hijack แอปพลิเคชันปกติได้ รวมถึงยังพบการใช้โจมตีจริงแล้วด้วย

Credit : Promon, Permission Request
Credit : Promon, Phishing

Promon ได้รับแจ้งจากลูกค้าหลายรายในกลุ่ม Financial ว่ามี End User เงินหายจึงประสานความร่วมมือกับ Lookout บริษัทผู้เชี่ยวชาญอีกแห่งจากสหรัฐฯ เพื่อตามรอยจนพบช่องโหว่ที่ชื่อ StrandHogg และมีแอปบน Play Store กว่า 36 แอปถูกคนร้ายโจมตี (ไม่มีการเผยชื่อแอป)

ไอเดียคือช่องโหว่อยู่ในส่วนของ OS ที่ใช้จัดการ Multitasking (กลไกการสลับโปรเซสเระหว่างกันเข้าออก) โดยบั๊กทำให้แอปอันตรายสามารถใช้งานช่องโหว่ได้เมื่อเหยื่อใช้แอปปกติผ่านฟีเจอร์ที่ชื่อ Task reparenting ทั้งนี้จากรูปด้านบนเมื่อเหยื่อเปิดแอปปกติจะมีการร้องขอสิทธิ์ซึ่งกลายเป็นการให้สิทธิ์แก่คนร้ายแทนที่จะเข้าสู่แอปนั้น นอกจากนี้ยังสามารถใช้แสดงหน้า Phishing Page ได้ด้วย ซึ่งจะเห็นได้ว่ากระบวนการโจมตีนั้นจับสังเกตได้ยากมากทีเดียว

ผู้เชี่ยวชาญยังเผยว่าคนร้ายไม่จำเป็นต้องมีสิทธิ์ระดับ Root และกระทบกับ Android OS เวอร์ชัน รวมถึงเวอร์ชัน 10 ด้วย นอกจากนี้ยังได้ทดสอบกับแอปยอดนิยม 500 อันดับแรกบน Play Store และพบว่าสามารถถูก Hijack ได้ทั้งหมด โดยทีมนักวิจัยเคยแจ้งช่องโหว่แก่ Android Project แล้วแต่ก็ไม่ได้รับการแก้ไขจนกระทั่งครบ 90 วันแล้วจึงออกมาเปิดเผย สำหรับผู้สนใจสามารถติดตามเพิ่มเติมได้จากเว็บไซต์ของนักวิจัยที่นี่

ที่มา :  https://www.zdnet.com/article/android-new-strandhogg-vulnerability-is-being-exploited-in-the-wild/

from:https://www.techtalkthai.com/strandhogg-vulnerbility-effect-all-android-versions/

พบ 42 แอปพลิเคชัน Android แฝง Spyware มียอดดาวน์โหลดแล้วกว่า 8 ล้านครั้ง

นักวิจัยจาก ESET ได้ออกรายงานพบแอปพลิเคชันที่แฝงมากับ Spyware กว่า 42 ตัวซึ่งมียอดดาวน์โหลดไปแล้วถึง 8 ล้านครั้ง

ESET ได้วิเคราะห์เจาะลึกถึงความสามารถของ Spyware ดังกล่าวพบว่ามีพฤติกรรมต่างๆ เช่น แสดงโฆษณาแบบเต็มหน้าจอโดยมีช่วงเวลาไม่แน่นอน ลบไอคอน Shortcut ของตัวเองออกไป หรือมีการเลียนแบบแอป Facebook หรือ Google ทั้งนี้ยังมีการลอบส่งข้อมูลของอุปกรณ์กลับไป นอกจากนี้นักวิจัยยังพบว่าแอปมีการเช็คว่าอุปกรณ์เชื่อมต่อกับเซิร์ฟเวอร์ของ Google หรือไม่เพื่อป้องกันการตรวจสอบ โดยหากพบว่ามีการทดสอบจากกลไกด้านความมั่นคงปลอดภัยของ Google ก็จะไม่แสดงฟังก์ชันของ Adware ออกมาให้เห็น

อย่างไรก็ตามปัจจุบันนักวิจัยได้แจ้งเตือนการค้นพบไปยัง Google และได้ทำการลบแอปบน Play Store แล้ว แต่คาดว่ายังคงหลงเหลืออยู่ในแหล่งดาวน์โหลดของ Third-party อื่น โดยแอปข้างต้นมีหลายหมวด เช่น Video Downloader Master, Ringtone Maker Pro, Savelnsta และ Tank Classic เป็นต้น

สำหรับผู้เขียนแอปเหล่านั้นจากการสืบสวนของนักวิจัยคาดว่าน่าจะเป็นนักศึกษาชาวเวียดนาม ซึ่งนักวิจัยสามารถย้อนรอยไปได้ถึงบัญชี GitHub, YouTube และ Facebook สำหรับผู้สนใจสามารถติดตามรายงานฉบับเต็มจาก ESET ได้ครับ

ที่มา :  https://techcrunch.com/2019/10/24/millions-dozens-android-apps-adware/ และ https://www.zdnet.com/article/vietnamese-student-behind-android-adware-strain-that-infected-millions/

from:https://www.techtalkthai.com/42-android-apps-come-with-spyware-downloaded-over-8-millions/

เตือน พบแอปเกมแอนดรอยด์ ‘Scary Granny ZOMBY Mod’ หลอกขอ Credentials ผู้ใช้งาน Gmail

Wandera ผู้เชี่ยวชาญด้าน Mobile Security ได้ออกมาเปิดเผยถึงเกมบนแอนดรอยด์ที่ชื่อ ‘Scary Granny ZOMBY Mod’ ซึ่งมียอดดาวน์โหลดไปแล้วถึง 50,000 ครั้งว่ามีพฤติกรรมอันตรายที่ทำ Phishing ข้อมูล Credentials ของผู้ใช้โดยการขอให้ล็อกอิน Gmail หรือบัญชี Google อื่นๆ

โดยจากหลักฐานที่พบผู้เชี่ยวชาญชี้ว่าเกมจะมีการร้องขอให้ผู้ใช้เข้าล็อกอิน Gmail หรือบัญชีอื่นๆ ของ Google จากนั้นจะเข้าไปแอบเก็บข้อมูลส่วนตัวอย่างเงียบๆ นอกจากนี้เกมยังมีการแสดงโฆษณาแบบเต็มจอด้วย อย่างไรก็ตามจากการตรวจวิเคราะห์เกมซึ่งมี 2 เวอร์ชันพบว่ามีปัญหารบกวนจากการแสดงหน้าเพจ Phishing และไม่สามารถใช้งานได้จริง ปัจจุบัน Google ได้ลบเกมออกจาก Play Store แล้วแต่ผู้เชี่ยวชาญยังไม่สามารถระบุตัวผู้สร้างได้เช่นกัน เนื่องจากเมื่อเข้าไปตามลิงก์ของนักพัฒนาพบว่าเป็นโดเมนที่ไม่ได้ลงทะเบียนเอาไว้

แม้ว่าเราจะไม่ได้เผยแพร่ข่าวลักษณะนี้บ่อยนักแต่การันตีผู้อ่านทุกท่านได้เลยครับว่านี่เป็นข่าวรายวันและเกิดขึ้นแทบตลอดเวลา ดังนั้นผู้ใช้งานมือถือต้องคิดให้ดีก่อนดาวน์โหลดเกมหรือแอปใหม่ๆ เข้ามานะครับ

ที่มา :  https://www.hackread.com/popular-android-zombie-game-phish-steal-gmail-credentials/

from:https://www.techtalkthai.com/scary-granny-zomby-mod-game-is-a-malicious-android-app/

[PR] แคสเปอร์สกี้ แลป เผย ZooPark มัลแวร์แอนดรอยด์อาละวาดผ่านเว็บไซต์ตัวล่าสุด

นักวิจัยของแคสเปอร์สกี้ แลป พบ “ZooPark” แคมเปญจารกรรมทางไซเบอร์อันซับซ้อน มีเป้าหมายที่ผู้ใช้แอนดรอยด์ในกลุ่มประเทศตะวันออกกลาง ใช้เว็บไซต์เป็นแหล่งแพร่กระจายเชื้อ ดูจากรูปการณ์น่าจะเป็นแคมเปญที่มีรัฐบาลอยู่เบื้องหลัง เน้นการโจมตีหน่วยงานการเมือง กลุ่มเคลื่อนไหว และเป้าหมายอื่นๆ ในภูมิภาค

เร็วๆ นี้ นักวิจัยของแคสเปอร์สกี้ แลป ได้พบตัวอย่างของแอนดรอยด์มัลแวร์ ในทีแรกมัลแวร์นี้ดูจะเป็นทูลจารกรรมไซเบอร์ที่เรียบง่าย ไม่น่าซับซ้อนนัก แต่นักวิจัยตัดสินใจที่จะตรวจสอบลงลึกต่อไป จึงค้นพบเวอร์ชั่นที่มีความซับซ้อนและใหม่กว่าของแอพนี้ และตั้งชื่อว่า ZooPark

แอพร้ายกาจพวกนี้บางตัวถูกแพร่กระจายออกมาจากเว็บไซต์ข่าวหรือเว็บไซต์การเมืองที่เป็นที่นิยมกันในภูมิภาคตะวันออกกลาง โดยแฝงตัวมาในรูปของแอพที่ถูกต้อง เช่น ‘TelegramGroups’ และ ‘Alnaharegypt news’ เป็นต้น ซึ่งเป็นชื่อที่คนในท้องที่นั้นๆ จะจำได้และรู้จักกันดี หลังจากกระจายเชื้อมัลแวร์สำเร็จแล้ว ผู้ร้ายไซเบอร์จะได้ข้อมูลต่างๆ ดังนี้:

  • ชื่อที่ติดต่อ
  • ข้อมูลของแอ็คเค้าท์
  • บันทึกการโทรศัพท์รวมทั้งเสียงบันทึกการโทร
  • รูปภาพใน SD Card ของอุปกรณ์นั้น
  • พิกัด GPS
  • ข้อความ SMS
  • รายละเอียดแอพพลิเคชั่น ข้อมูลเบราเซอร์
  • ข้อมูลการพิมพ์คีย์ล็อกและคลิปบอร์ด
  • อื่นๆ

ฟังก์ชั่นแบ็คดอร์:

  • แอบส่ง SMS
  • แอบโทรศัพท์
  • ดำเนินการคำสั่งเชลล์คอมมานด์

นอกจากนี้ ยังมีฟังก์ชั่นอื่นๆ ที่ใช้แอพพลิเคชั่นสื่อสาร อาทิ Telegram, WhatsApp, IMO, Chrome และแอพพลิเคชั่นอื่นๆ อีก มัลแวร์จะคอยขโมยฐานข้อมูลภายในของแอพที่ถูกควบคุม ตัวอย่างเช่น จารกรรมข้อมูลสำคัญส่วนตัวที่เก็บไว้ตามเว็บไซต์ต่างๆ

ข้อมูลจากการตรวจสอบพบว่า ผู้อยู่เบื้องหลังการโจมตีนี้มีเป้าหมายโจมตีผู้ใช้ในประเทศอียิปต์ จอร์แดน โมร็อกโก เลบานอน และอิหร่าน และเมื่อวิเคราะห์จากหัวข้อข่าวที่ผู้ร้ายใช้ล่อเหยื่อให้หลงกลลงมัลแวร์แล้ว คาดว่าสมาชิกกลุ่มผู้บรรเทาทุกข์แห่งสหประชาชาติ และหน่วยงานต่างๆ น่าจะกำลังเป็นเหยื่อของมัลแวร์ ZooPark ด้วย

“ปัจจุบันผู้คนมากมายใช้อุปกรณ์สื่อสารโมบาย และส่วนมากถึงกับใช้เป็นช่องทางสื่อสารหลักทางเดียว ซึ่งเป็นแนวโน้มที่ถูกจับตามองของผู้โจมตีที่ได้รับการหนุนหลังจากประเทศที่กำลังสร้างทูลเซ็ตให้มีประสิทธิภาพมากพอ เพื่อใช้ติดตามข้อมูลของผู้ใช้โมบาย มัลแวร์ ZooPark APT เป็นสปายสอดส่องเป้าหมายในประเทศในตะวันออกกลาง และนี่ก็เป็นตัวอย่างหนึ่งเท่านั้น” อเล็กซี่ เฟิร์ช ผู้เชี่ยวชาญด้านความปลอดภัย แคสเปอร์สกี้ แลป กล่าว

นักวิจัยของแคสเปอร์สกี้ แลป สามารถระบุมัลแวร์เพื่อการจารกรรมที่เกี่ยวโยงกับครอบครัวมัลแวร์ ZooPark ได้อย่างน้อยถึง 4 เจเนเรชั่น ซึ่งออกอาละวาดมาอย่างน้อยที่สุดน่าจะตั้งแต่ปี 2015 ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับและบล็อกภัยไซเบอร์ตัวนี้ได้เป็นผลสำเร็จ

อ่านเพิ่มเติมเกี่ยวกับมัลแวร์ ZooPark ภัยไซเบอร์แบบ APT ได้ที่

https://securelist.com/whos-who-in-the-zoo/85394/

###

from:https://www.techtalkthai.com/zoopark-android-malware/

Ramnit Worm ปรากฏตัวอีกครั้งในเวอร์ชัน Android

Ramnit Worm ได้กลับมาปรากฏตัวอีกครั้งในเวอร์ชัน Android แม้ว่าโดยพื้นฐานมันจะเป็น Window-base ก็ตาม คำถามคือ Ramnit ถูกดัดแปลงให้รันได้บน Android และแพร่ผ่าน Google Play ได้จริงหรือ? การระบาดครั้งนี้ผู้ใช้งานได้รับผลกระทบอย่างไรและป้องกันอุปกรณ์ได้อย่างไร? วันนี้เรามีคำตอบจาก Symantec มาให้ความรู้และแนะนำผู้ใช้งานให้ปลอดภัยจาก Ramnit และ Threat อื่นๆ ที่อาจะเกิดขึ้นในอนาคต

Ramnit Worm (W32.Ramnit) ปรากฏตัวครั้งแรกเมื่อปี 2010 (CVE-2010-2568CVE-2013-0422CVE-2013-1493) โจมตีบน Windows-based เพื่อให้มั่นใจว่ามันจะสามารถกระได้รวดเร็วและกำจัดได้ยาก ผู้พัฒนาออกแบบให้มันแพร่กระจายผ่าน Removable หรือ Fixed Drive และติดได้บนไฟล์ต่างๆ เช่น .exe .dll .html .htm กระบวนการติดมัลแวร์บน HTML ไฟล์ใช้ 2 เทคนิคคือ

  1. แทรก VBScript ในหน้า HTML สำหรับปล่อยและรันไฟล์
  2. แทรก Hidden iframe ในหน้า HTML เพื่อดาวน์โหลดไฟล์เมื่อเหยื่อเปิดเพจใน Browser

Ramnit Worm ปรากฏตัวอีกครั้งในเวอร์ชัน Android ในเดือนมีนาคมปีนี้ มีกว่า 100 แอปพลิเคชันที่ติดมัลแวร์คล้ายๆ กันถูกลบออกจาก Google Play และเมื่อเร็วๆ นี้ก็มีการโจมตีระลอกใหม่อีกครั้งมี 92 แอปพลิเคชันที่เกี่ยวข้อง อีกทั้งยังมีผู้ใช้งานดาวน์โหลดไปแล้วถึง 250,000 ครั้ง ส่วนหนึ่งของแอปพลิเคชันเหล่านั้นเป็นแอปพลิเคชันเพื่อการศึกษาจากค่าย Lesmana Studio และอีกส่วนเป็นแอปพลิเคชันสอนการออกแบบจากผู้พัฒนาที่ชื่อว่า Arrpya App ซึ่งแอปพลิเคชันเหล่านี้ไม่ปรากฏบน Google Play แล้ว

Ramnit ถูกดัดแปลงให้รันได้บน Andorid และแพร่ผ่าน Google Play ได้จริงหรือ? แม้ว่าหลายปีก่อนจะมีการกวาดล้างครั้งใหญ่ไปแล้วแต่คาดว่า Ramnit ก็คงยังหลงเหลืออยู่ที่ไหนสักแห่ง เรื่องทั้งหมดน่าเกิดขึ้นเพราะนักพัฒนา Android แอปพลิเคชันไปใช้งานเครื่องที่ติด Ramnit อยู่หรือเผลอไปรวมไฟล์ที่มีมัลแวร์อยู่เข้าไปจากนั้นก็ส่งงานไปที่ Google Play แม้ว่า Google จะมีการตรวจสอบแอปพลิเคชันที่อัพโหลดมาแต่เราไม่รู้ขั้นตอนในการตรวจสอบ ดังนั้นเราจึงไม่ทราบได้ว่าทำไม Ramnit ถึงรอดจากการตรวจสอบนั้น

อันที่จริงแล้ว Ramnit ไม่สามารถรันบนอุปกรณ์ Android ได้จริง กรณีที่จะติดได้นั้น คือ ต้องนำอุปกรณ์ไปต่อกับเครื่อง Windows แล้วก็เปิดไฟล์ที่ติดมัลแวร์ด้วย Browser บนเครื่อง Window อย่างไรก็ตาม ถ้าผู้ใช้มีการติดตั้งโปรแกรม Antivirus หรือ Endpoint Protection ก็จะปลอดภัยจาก Worm ตัวนี้และภัยคุกคามอื่นๆ แม้ว่าภัยครั้งนี้จะดูเหมือนว่ามันไม่ได้รุนแรงมากนักแต่มันพิสูจน์แล้วว่าการตรวจสอบแอปพลิเคชันของผู้ให้บริการแอปพลิเคชันนั้นไม่พอเพียงและอาจเป็นช่องทางให้มัลแวร์ตัวอื่นๆ เกิดขึ้นต่อไป ในครั้งนี้ Symantec ได้แจ้ง Google ให้ทำการลบแอปพลิเคชันเหล่านี้แล้ว เพื่อความปลอดภัยของผู้ใช้งานมือถือทาง Symantec มีข้อแนะนำดังนี้
  • อัพเดต Software ให้ล่าสุดเสมอ
  • อย่าดาวน์โหลดแอปพลิเคชันจากไซต์ที่ไม่น่าไว้วางใจ
  • ใช้งานแอปพลิเคชันจากผู้ผลิตที่ไว้ใจได้เท่านั้น
  • ระมัดระวังการให้สิทธิ์กับแอปพลิเคชัน
  • หาโปรแกรมด้านการรักษาความมั่นคงปลอดภัยบนมือถือมาใช้ เช่น Norton หรืออื่นๆ
  • พยายามสำรองข้อมูลสำคัญไว้อย่างสม่ำเสมอ

สามารถดูข้อมูลเพิ่มเติมของ Ramnit ได้ที่นี่ https://www.symantec.com/security_response/writeup.jsp?docid=2010-011922-2056-99

ที่มา : https://www.symantec.com/connect/blogs/ramnit-worm-still-turning-unlikely-places

from:https://www.techtalkthai.com/ramnit-worm-on-android/

รายงานระบุ CopyCat Android Malware ใช้เวลา 2 เดือนแพร่ระบาด 14 ล้านเครื่อง เน้นโจมตีเอเชียตะวันออกเฉียงใต้

นักวิจัยด้านความมั่นคงปลอดภัยจาก Check Point ได้ออกมาเปิดเผยถึงการโจมตีของ Android Malware ที่มีชื่อว่า CopyCat ซึ่งเคยเกิดขึ้นว่ามีเหยื่อไปแล้วกว่า 14 ล้านรายทั่วโลก ทำให้ผู้พัฒนาได้รับเงินไปทั้งสิ้นกว่า 1.5 ล้านเหรียญหรือราวๆ 52.5 ล้านบาทจากการทำ Ad Fraud

Credit: Check Point

 

การโจมตีทั้งหมดนี้ใช้เวลาเพียง 2 เดือนเท่านั้นตั้งแต่เดือนเมษายนถึงพฤษภาคมปี 2016 ที่ผ่านมา โดยในเหยื่อทั้งสิ้น 14 ล้านรายนี้เป็นเครื่องที่ Root มากถึง 8 ล้านเครื่อง และยังมีเหยื่ออยู่ภายในภูมิภาคเอเชียมากถึง 55% โดยเหยื่อส่วนใหญ่อยู่ในเอเชียตะวันออกเฉียงใต้ ซึ่งในรายงานก็ได้ระบุด้วยว่าการโจมตีเหล่านี้ไม่ได้ทำผ่าน Google Play เลยแม้แต่น้อย แต่ทำการแพร่ระบาดผ่านทาง App Store ของ 3rd Party เป็นหลัก

การแพร่ระบาดของ CopyCat นี้เกิดขึ้นจากการนำ Android Application ที่มีชื่อเสียงมาฝังโค้ดของ CopyCat ลงไป และนำไปแพร่กระจายผ่านทาง 3rd Party App Store รวมถึงทำ Phishing หลอกให้เหยื่อทำการติดตั้ง Application เหล่านี้ โดยเมื่อเครื่องของเหยื่อที่ติดตั้ง Application ที่มี CopyCat แฝงอยู่เข้าไปแล้วและถูก Restart เครื่องเหล่านั้นจะทำการโหลดชุดโค้ดสำหรับการโจมตีมาจาก Amazon S3 ทันที พร้อมใช้สิทธิ์ Root ในการทำงาน ทำให้ถอนการติดตั้งได้ยาก

หลังจากนั้น CopyCat จะทำการโจมตี Zygote ระบบ Android Core Process สำหรับใช้ในการ Launch Application ขึ้นมา และยังทำให้ CopyCat ได้รับสิทธิ์ระดับสูงไปด้วย โดย CopyCat จะทำการแสดงโฆษณาปลอมเพื่อหลอกให้ผู้ใช้งานติดตั้ง Application ปลอมๆ เป็นช่องทางในการสร้างรายได้ให้แก่นักพัฒนา Malware อีกทั้งยังใช้หลอกให้ผู้ใช้งานทำการติดตั้ง Application จาก Google Play ได้อีกด้วยเช่นกัน

ปัจจุบันนี้ถึงแม้เวลาจะล่วงเลยมาแล้วกว่า 1 ปี แต่ก็ยังไม่สามารถระบุชัดได้ว่าใครเป็นผู้อยู่เบื้องหลัง CopyCat Malware นี้ แต่ก็ถือเป็นอุทาหรณ์ที่ดีสำหรับการใช้งานโทรศัพท์ ว่าควรจะต้องมีความระมัดระวังเป็นอย่างสูง ไม่เช่นนั้นก็อาจตกเป็นเหยื่อได้ง่ายๆ เช่นกัน

สำหรับผู้ที่อยากอ่านรายงานฉบับเต็ม สามารถอ่านได้ที่ http://blog.checkpoint.com/2017/07/06/how-the-copycat-malware-infected-android-devices-around-the-world/ ครับ

 

ที่มา: https://threatpost.com/copycat-malware-infected-14m-android-devices-rooted-8m-in-2016/126691/

from:https://www.techtalkthai.com/copycat-android-malware-used-2-months-to-infect-14-million-devices/