ผู้เชี่ยวชาญด้านความปลอดภัยตรวจพบแอปพลิเคชันใน Google Play Store แอบซ่อนโทรจันขโมยเงิน

ThreatFabric บริษัทรักษาความปลอดภัยทางไซเบอร์ ได้เปิดเผยการระบาดของมัลแวร์ขโมยเงิน (Banking Trojans) ในช่วงระหว่างเดือนสิงหาคม ถึงเดือนพฤศจิกายน ค.ศ. 2021 (พ.ศ.2564) มีผู้ถูกโจมตีมากกว่า 300,000 ราย โดยมัลแวร์ตัวนี้เป็นประเภทโทรจัน แฝงตัวอยู่ในแอปพลิเคชันหลายตัวที่สามารถดาวน์โหลดได้โดยตรงจาก Google Play Store

ในการโจมตีนี้ ทางแฮกเกอร์ได้สร้างแอปพลิเคชันประเภทอรรถประโยชน์ (Utility) ขึ้นมาหลายตัว เพื่อใช้เป็นช่องทางในการเผยแพร่มัลแวร์ Anatsa (หรือ TeaBot), Alien, ERMAC และ Hydra โดยมันเป็นมัลแวร์ที่ใช้ในการจารกรรมข้อมูลที่มีความอันตราย สามารถสอดส่องบัญชีผู้ใช้, รหัสผ่าน, รหัสการเข้ารหัส 2 ชั้น (2FA), การพิมพ์, ภาพหน้าจอ รวมไปถึงการแอบขโมยเงินในบัญชีโดยที่ไม่ให้ผู้ใช้รู้ตัวด้วยเครื่องมือโอนเงินอัตโนมัติ (Automatic Transfer System (ATSs))

ภาพจาก https://www.threatfabric.com/blogs/deceive-the-heavens-to-cross-the-sea.html

สาเหตุที่แอปพลิเคชันรอดพ้นจากการตรวจสอบของ Google ผ่านเข้า Google Play Store ไปได้ ทางแฮกเกอร์อาศัยเทคนิคที่เรียกว่า "Versioning" ที่เป็นการส่งแอปพลิเคชันเวอร์ชันที่มีความปกติไม่มียัดไส้มัลแวร์เอาไว้เข้าไปยัง Google Play Store ก่อน จากนั้นก็จะหาทางหลอกให้ผู้ที่ติดตั้งแอปพลิเคชันทำการอัปเดตเวอร์ชันผ่านทางหน้าเว็บไซต์ปลอมที่ถูกสร้างมาให้เหมือนกับเว็บไซต์จริง แน่นอนว่าเมื่ออัปเดตแล้ว ผู้ใช้จะได้รับแอปพลิเคชันเวอร์ชันสอดไส้โทรจัน

ขณะนี้ แอปพลิเคชันที่มีมัลแวร์แฝงตัวอยู่ได้ถูกลบออกจาก Google Play Store แล้ว แต่หากใครที่ติดตั้งไปแล้ว ก็จำเป็นต้องถอนการติดตั้งออกจากสมาร์ทโฟนด้วยตนเองนะ

รายชื่อแอปพลิเคชันอันตรายที่มีมัลแวร์แฝงตัวอยู่

• Two Factor Authenticator (com.flowdivison)
• Protection Guard (com.protectionguard.app)
• QR CreatorScanner (com.ready.qrscanner.mix)
• Master Scanner Live (com.multifuction.combine.qr)
• QR Scanner 2021 (com.qr.code.generate)
• QR Scanner (com.qr.barqr.scangen)
• PDF Document Scanner - Scan to PDF (com.xaviermuches.docscannerpro2)
• PDF Document Scanner Free (com.doscanner.mobile)
• CryptoTracker (cryptolistapp.app.com.cryptotracker)
• Gym and Fitness Trainer (com.gym.trainer.jeux)