ดาวน์โหลดโปรแกรมฟรี
Facebook  Twitter  YouTube  News Letter  Rss Feed
ติดตามไทยแวร์ได้ที่นี่
  
ข่าวไอที
 
ส่งข่าวไอทีเข้าไทยแวร์ดอทคอม (Submit News to Thaiware.com)
 

Recommended for you

BankBot โทรจันขโมยข้อมูลบัตรเครดิต ย้อนกลับมาใน Google Play อีกครั้ง

เมื่อ :
ผู้เข้าชม : 2,359
เขียนโดย :
BankBot โทรจันขโมยข้อมูลบัตรเครดิต ย้อนกลับมาใน Google Play อีกครั้ง
0 BankBot+%E0%B9%82%E0%B8%97%E0%B8%A3%E0%B8%88%E0%B8%B1%E0%B8%99%E0%B8%82%E0%B9%82%E0%B8%A1%E0%B8%A2%E0%B8%82%E0%B9%89%E0%B8%AD%E0%B8%A1%E0%B8%B9%E0%B8%A5%E0%B8%9A%E0%B8%B1%E0%B8%95%E0%B8%A3%E0%B9%80%E0%B8%84%E0%B8%A3%E0%B8%94%E0%B8%B4%E0%B8%95+%E0%B8%A2%E0%B9%89%E0%B8%AD%E0%B8%99%E0%B8%81%E0%B8%A5%E0%B8%B1%E0%B8%9A%E0%B8%A1%E0%B8%B2%E0%B9%83%E0%B8%99+Google+Play+%E0%B8%AD%E0%B8%B5%E0%B8%81%E0%B8%84%E0%B8%A3%E0%B8%B1%E0%B9%89%E0%B8%87
A- A+

เมื่อช่วงต้นปีที่ผ่านมา ได้มีการตรวจพบ มัลแวร์ขโมยข้อมูลบัตรเครดิต ที่มีนามว่า BankBot ที่จัดอยู่ในประเภท โทรจัน โดยมันจะแฝงมาในรูปแบบของแอปพลิเคชันบน Google Play หากผู้ใช้เผลอดาวน์โหลดไป แล้วเปิดใช้งาน มันก็จะทำการแทรกแซงระบบ พร้อมกับดักจับข้อมูลบัตรเครดิตรวมถึงข้อความ SMS ของผู้ใช้ด้วย ถือว่าเป็นโทรจันอีกตัวที่อันตรายมาก

และล่าสุด เมื่อวันที่ 4 กันยายน 2560 ที่ผ่านมา ได้มีการตรวจพบ BankBot เวอร์ชั่นใหม่ที่แฝงตัวมากับ แอปพลิเคชันเลียนแบบเกมส์ "Jewels Star Classic จากผู้พัฒนา GameDevTony บน Google play" ครั้งนี้มันได้เพิ่มความซับซ้อนของโค้ดและฟังก์ชั่นของ Payload แล้วยังมีกระบวนการแพร่กระจายผ่าน Accessibility Service อีกด้วย ซึ่งได้มีการแจ้งเรื่องนี้ให้กับทีม Security ของ Google แล้ว โดยแอปพลิเคชันเลียนแบบของ Jewels Star Classic มียอดดาวน์โหลดไปแล้วกว่า 5,000 ครั้งก่อนถูกถอนออกจาก Play Store

จากการสำรวจพบว่าโทรจันมักใช้ Accessibility Service ของ Android เป็นเครื่องมือในการแพร่กระจาย ยกตัวอย่าง SfyLabs และ Zscaler ที่สามารถยืนยันได้ว่าเป็นตัวการแพร่กระจาย BankBot บน Google Play ด้วยฟังก์ชั่น Accessibility-abusing เรามาดูกันว่าเจ้ามัลแวร์ตัวนี้ทำงานกันยังไง


มัลแวร์ตัวนี้ทำงานอย่างไร?

BankBot โทรจันขโมยข้อมูลบัตรเครดิต ย้อนกลับมาใน Google Play อีกครั้ง

เมื่อผู้ใช้ดาวน์โหลดเกมส์ Jewels Star Classic ที่เป็นเวอร์ชั่นของ GameDevTony (ตามภาพบน) ผู้ใช้จะได้รับเกมส์จริง แต่มีเซอร์วิสอันตราย ที่ถูกตั้งเวลาไว้ให้ทำงาน 20 นาที หลังจากผู้ใช้เปิดแอปพลิเคชันครั้งแรก ผู้ใช้จะได้รับการแจ้งเตือนให้เปิดใช้งาน “Google Service” และเมื่อผู้ใช้กดปุ่ม OK ผู้ใช้จะถูกพาไปยังหน้า Accessibility ใน Settings และจะพบ “Google Service” ที่มัลแวร์สร้างขึ้นมา 

สไลด์รูปภาพ

 BankBot โทรจันขโมยข้อมูลบัตรเครดิต ย้อนกลับมาใน Google Play อีกครั้งBankBot โทรจันขโมยข้อมูลบัตรเครดิต ย้อนกลับมาใน Google Play อีกครั้งBankBot โทรจันขโมยข้อมูลบัตรเครดิต ย้อนกลับมาใน Google Play อีกครั้งBankBot โทรจันขโมยข้อมูลบัตรเครดิต ย้อนกลับมาใน Google Play อีกครั้ง

" การคลิก OK นี้ เท่ากับให้อนุญาตกับมัลแวร์เข้าถึงอุปกรณ์ของคุณ และเริ่มกิจกรรมอันตรายบนโทรศัพท์ของคุณได้ "

หากผู้ใช้เปิดเซอร์วิสนี้ขึ้นมาจะเห็น รายชื่อ App Permission

  • Observe your actions
  • Retrieve window content
  • Turn on Explore by Touch
  • Turn on enhanced web accessibility and Perform gesturesสไลด์รูปภสไลด์รูปภาพ

ในทางทฤษฎี การให้อนุญาตกับ “Google Service” ตัวใหม่ที่มัลแวร์สร้างขึ้นมา เท่ากับหยุดการทำงานของ Google Service ตัวก่อนหน้า ต่อมามัลแวร์ก็จะใช้ Screen Cover เพื่อให้ผู้ใช้อนุญาตกิจกรรมเหล่านี้

  • ติดตั้งแอปพลิเคชันจากแหล่งที่ไม่รู้จัก
  • ติดตั้ง BankBot และเริ่มทำงาน BankBot
  • ให้สิทธิ์ administrator กับ BankBot
  • ตั้ง BankBot เป็นแอป SMS เริ่มต้น
  • ให้สิทธิ์ draw over บน apps อื่น

หลังจากขบวนการทั้งหมดนี้เสร็จสิ้น มัลแวร์จะเริ่มทำงานจริงๆ ของมันก็คือ "ขโมยข้อมูลบัตรเครดิตของผู้ใช้" โดยการหลอกให้ผู้ใช้กรอกข้อมูลลงไป ในส่วนนี้จะเป็นฟังก์ชั่นที่เหมือนกับ BankBot เวอร์ชั่นอื่นๆ ที่มีรายชื่อของแอปพลิเคชันธุรกรรม และเปิดหน้าต่างล็อคอินปลอมขึ้นมาเพื่อให้ผู้ใช้กรอก เมื่อผู้ใช้เปิดแอปฯ Google Play มัลแวร์ BankBot จะเปิดหน้าต่างล็อคอินขึ้นมาบัง (ตามรูปด้านล่าง)

BankBot โทรจันขโมยข้อมูลบัตรเครดิต ย้อนกลับมาใน Google Play อีกครั้ง

ถ้าหากผู้ใช้บังเอิญหรือไม่ตั้งใจกรอกข้อมูลเหล่านี้ลงไป แฮกเกอร์ก็จะได้ข้อมูลตรงนั้นไป และนอกจากนั้น BankBot ยังสามารถขัดขวางข้อความ SMS ได้อีกด้วยทำให้ two-factor authentication อย่าง OTP ไม่เป็นอุปสรรคต่อแฮกเกอร์เลย

ทำไม BankBot ถึงอันตราย?

ในแผนการนี้ แฮกเกอร์รวมเทคนิคของนักพัฒนามัลแวร์มาใช้ ทั้งการเข้าถึง Accessibility Service, ปลอมตัวเป็น Google และการดีเลย์การทำงานของมัลแวร์เพื่อหลบการตรวจสอบของ Google นอกจากนี้การถอนแอปฯ เจ้าปัญหาตัวนี้ออกก็ไม่ใช่เรื่องง่ายเลย

สุดท้ายนี้ มัลแวร์ขโมยข้อมูลบัตรเครดิต BankBot ไม่ได้มีเพียงแค่แอปฯ เลียนแบบ Jewel Star Classic เท่านั้น แต่แอปฯ อื่นๆ ก็มีโอกาสเช่นกัน ฉะนั้นแล้ว ผู้ใช้ควรระมัดระวังในการกรอกข้อมูลสำคัญต่างๆ ให้มากยิ่งขึ้น และควรตรวจสอบที่มาที่ไปของแอปฯ ก่อนทุกครั้งว่า มาจากผู้พัฒนาเจ้าไหน นอกจากนี้แล้วควรหลีกเลี่ยงการดาวน์โหลดแอปฯ จากเว็บไซต์ Third Party เพราะเราไม่รู้ว่าเขาจะแอบซ่อนอะไรมากับแอปฯ ที่เราโหลด


ที่มา : blog.eset.co.th , www.welivesecurity.com


0 BankBot+%E0%B9%82%E0%B8%97%E0%B8%A3%E0%B8%88%E0%B8%B1%E0%B8%99%E0%B8%82%E0%B9%82%E0%B8%A1%E0%B8%A2%E0%B8%82%E0%B9%89%E0%B8%AD%E0%B8%A1%E0%B8%B9%E0%B8%A5%E0%B8%9A%E0%B8%B1%E0%B8%95%E0%B8%A3%E0%B9%80%E0%B8%84%E0%B8%A3%E0%B8%94%E0%B8%B4%E0%B8%95+%E0%B8%A2%E0%B9%89%E0%B8%AD%E0%B8%99%E0%B8%81%E0%B8%A5%E0%B8%B1%E0%B8%9A%E0%B8%A1%E0%B8%B2%E0%B9%83%E0%B8%99+Google+Play+%E0%B8%AD%E0%B8%B5%E0%B8%81%E0%B8%84%E0%B8%A3%E0%B8%B1%E0%B9%89%E0%B8%87
แบ่งปันหน้าเว็บนี้ผ่าน URL :
Keyword คำสำคัญ »
เขียนโดย
ระดับผู้ใช้ : Admin    Thaiware
How to ....
 
 
 
 

ข่าวไอทีที่เกี่ยวข้อง



 

Recommended for you

 

แสดงความคิดเห็น

 

แผนผังเว็บไซต์ (XML Sitemap)
Thaiware Communication Co.,Ltd.

Copyright Notice

Creative Commons Attribution 3.0
Copyright 1999-2019

Thaiware.com is owned and operated by
Thaiware Communication Co., Ltd.