ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

พบมัลแวร์ Sharkbot ระบาดบน Google Play

พบมัลแวร์ Sharkbot ระบาดบน Google Play
ภาพจาก : https://flic.kr/p/dEJkKC
เมื่อ :
|  ผู้เข้าชม : 4,598
เขียนโดย :
0 %E0%B8%9E%E0%B8%9A%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C+Sharkbot+%E0%B8%A3%E0%B8%B0%E0%B8%9A%E0%B8%B2%E0%B8%94%E0%B8%9A%E0%B8%99+Google+Play
A- A+
แชร์หน้าเว็บนี้ :

นักวิจัยด้านความปลอดภัยจากบริษัท Check Point Research ได้รายงานการค้นพบมัลแวร์ตัวใหม่ที่แพร่ระบาดอยู่บน Google Play โดยแฝงตัวอยู่ในแอปพลิเคชันที่ปลอมแปลงเป็นแอปป้องกันไวรัส 

มัลแวร์ตัวดังกล่าวมีชื่อว่า Sharkbot แฝงตัวอยู่ในแอปพลิเคชันป้องกันไวรัส จากผู้พัฒนา 3 ราย คือ Zbynek Adamcik, Adelmio Pagnotto และ Bingo Like Inc. มีรายชื่อแอปพลิเคชันดังต่อไปนี้

บทความเกี่ยวกับ Google อื่นๆ
  • Atom Clean-Booster, Antivirus
  • Antivirus, Super Cleaner
  • Alpha Antivirus, Cleaner
  • Powerful Cleaner, Antivirus
  • Center Security - Antivirus
  • Center Security - Antivirus (ชื่อเหมือนตัวบน แต่คนละปก)

พบมัลแวร์ Sharkbot ระบาดบน Google Play
ภาพจาก https://research.checkpoint.com/2022/google-is-on-guard-sharks-shall-not-pass/

แอปพลิเคชันเหล่านี้มียอดดาวน์โหลดไปติดตั้งใช้งานแล้วประมาณ 15,000 ครั้ง แม้ว่าในขณะนี้ ทาง Google ได้ทำการลบแอปพลิเคชันทั้ง 6 ตัว ออกไปจากเซิร์ฟเวอร์ของ Google Play แล้ว แต่ตามเว็บไซต์ 3rd-Party ที่ให้บริการ Sideloading ยังมีให้ดาวน์โหลดอยู่

สำหรับรูปแบบการโจมตี เมื่อผู้ใช้งานดาวน์โหลดแอปพลิเคชันดังกล่าวไปติดตั้งบนตัวอุปกรณ์ แล้วเปิดใช้งาน จะมีให้ผู้ใช้งานทำการลงทะเบียนข้อมูลส่วนตัวก่อนเริ่มใช้งาน แต่ในความเป็นจริง ข้อมูลส่วนตัว และข้อมูลธุรกรรมทางการเงินของผู้ใช้จะถูกส่งไปยังเซิร์ฟเวอร์ของแฮกเกอร์แทน นอกจากนี้ มันยังมีความสามารถในการโจรกรรมข้อมูลอีกหลายรูปแบบ อย่างเช่น การหยุดทำงานโดยอัตโนมัติ แล้วปิดตัวมันเอง เมื่อมันพบว่าถูกเรียกใช้งานในระบบ Sandbox

จากการตรวจสอบของนักวิจัยด้านความปลอดภัยพบว่า Sharkbot มีการเลือกโจมตีผู้ใช้งานโดยอ้างอิงจากภูมิประเทศ โดยมันจะไม่โจมตีผู้ใช้งานที่อาศัยอยู่ในประเทศจีน, อินเดีย, โรมาเนีย, รัสเซีย, ยูเครน และสาธารณรัฐเบลารุส

ความแปลกอีกอย่างหนึ่งของ Sharbot คือมันมีการใช้เทคนิค Domain Generation Algorithm (DGA) ซึ่งเป็นอัลกอริทึมที่ใช้ในการสร้างชื่อโดเมนจำนวนมากขึ้นมาภายในช่วงเวลาสั้น ๆ ซึ่งเป็นเทคนิคที่ Botnet นิยมใช้งานกัน แต่ไม่ค่อยพบในมัลแวร์บนแพลตฟอร์มระบบปฏิบัติการ Android มากนัก

ในตัว Sharkbot จะมีชุดคำสั่งอยู่ทั้งหมด 22 ชุดคำสั่ง ที่ใช้ในการจารกรรม หรือล่อลวงผู้ใช้งานระบบปฏิบัติการ Android อย่างเช่น การขออนุญาตส่งข้อความ SMS, ลบแอปพลิเคชัน, ส่งข้อมูลผู้ติดต่อไปยังเซิร์ฟเวอร์, ปิดระบบจัดการแบตเตอรี่ เพื่อให้ Sharkbot สามารถทำงานอยู่ในเบื้องหลังได้ตลอดเวลา ฯลฯ

  คำสั่ง

รายละเอียด

1 smsSend

ขออนุญาตส่งข้อความ SMS

2 updateLib

ดาวน์โหลด และบันทึกไฟล์ Jar ด้วย Java code

3 updateSQL

อัปเดตตัวเลือกใน LocalDB

4 updateConfig

อัปเดตตัวเลือกต่าง ๆ

5 uninstallApp

ลบแอปพลิเคขันที่กำหนด

6 collectContacts

ส่งข้อมูลผู้ติดต่อไปยังเซิร์ฟเวอร์

7 changeSmsAdmin

สั่งให้ผู้ใช้เปลี่ยนตัวขัดการ SMS

8 getDoze

ปิดระบบจัดการแบตเตอรี่ เพื่อให้ Sharkbot สามารถทำงานเบื้องหลังได้

9 sendInject

สร้างหน้าต่าง "Injection" จาก URL ที่กำหนด

10 iWantA11

สั่งให้ผู้ใช้อนุญาตให้ Sharbot ทำงานเป็น Accessibility Service

11 updateTimeKnock

อัปเดตตัวเลือกใน "TIME_KNOCK_ADMIN"

12 sendPush

ส่งหน้าต่างแจ้งเตือนให้ผู้ใช้

13 APP_STOP_VIEW

ป้องกันไม่ให้ผู้ใช้เปิดใช้งานแอปพลิเคชันที่กำหนด

14 Swipe

จำลองการปัดหน้าจอของผู้ใช้

15 autoReply

สร้างข้อความตอบกลับอัตโนมัติในหน้าต่างแจ้งเตือน

16 removeApp

แอบลบแอปพลิเคขันทีกำหนดออกจากอุปกรณ์

17 serviceSMS

ส่งข้อความ SMS ไปยังหมายเลขโทรศัพท์ที่ พร้อมกับข้อความที่ให้ไว้

18 getNotify

เปิดใช้งานรับสายอัตโนมัติให้ Sharbot

19 localATS

ส่งข้อมูลแอปพลิเคชัน และ Logs ไปยังเซิร์ฟเวอร์

20 sendSMS

ส่งข้อความ SMS ไปยังหมายเลขโทรศัพท์ที่กำหนด พร้อมกับข้อความที่กำหนด

21 downloadFile

ดาวน์โหลดไฟล์จาก URL ที่กำหนด และบันทึกลงในเครื่องเป็นไฟล์ .APK

22 stopAll

ส่งคำสั่งให้ไฟล์ Jar พร้อมกับคำสั่ง "UpdateLib"

Sharkbot ถูกค้นพบเป็นครั้งแรกเมื่อวันที่ 25 กุมภาพันธ์ ค.ศ. 2022 (พ.ศ. 2565) โดยมีแอปพลิเคชัน 4 ตัวที่ถูกค้นพบ หลังจากนั้นในวันที่ 9 ของเดือนถัดมา ทาง Google ก็ได้ลบมันออกจากระบบ แต่วันที่ 15 มีนาคม ค.ศ. 2022 (พ.ศ. 2565) ก็ได้มีการค้นพบแอปพลิเคชันที่เป็นพาหะมัลแวร์เพิ่มเติมอีก 2 ตัว ซึ่งก็ได้ถูกทาง Google ลบออกไปในวันที่ 27 ของเดือนเดียวกัน

ผู้ที่ใช้งานระบบปฏิบัติการ Android อยู่ หากตรวจสอบแล้วพบว่ามีแอปพลิเคชันที่อยู่ภายในรายชื่อติดตั้งอยู่ภายในเครื่อง แนะนำให้รีบลบแอปพลิเคชันดังกล่าวออกทันที และทำการเปลี่ยนรหัสผ่านของบัญชีต่าง ๆ ให้เรียบร้อย


ที่มา : research.checkpoint.com , threatpost.com

0 %E0%B8%9E%E0%B8%9A%E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C+Sharkbot+%E0%B8%A3%E0%B8%B0%E0%B8%9A%E0%B8%B2%E0%B8%94%E0%B8%9A%E0%B8%99+Google+Play
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
ระดับผู้ใช้ : Admin    Thaiware
แอดมินสายเปื่อย ชอบลองอะไรใหม่ไปเรื่อยๆ รักแมว และเสียงเพลงเป็นพิเศษ
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น