ดาวน์โหลดโปรแกรมฟรี
       
   สมัครสมาชิก   เข้าสู่ระบบ
ข่าวไอที
 

มัลแวร์ Snowblind ใช้ช่องโหว่ Seccomp บน Android ลักลอบเข้าจู่โจมเครื่อง

มัลแวร์ Snowblind ใช้ช่องโหว่ Seccomp บน Android ลักลอบเข้าจู่โจมเครื่อง
ภาพจาก : https://www.bleepingcomputer.com/news/security/snowblind-malware-abuses-android-security-feature-to-bypass-security/
เมื่อ :
|  ผู้เข้าชม : 2,298
เขียนโดย :
0 %E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C+Snowblind+%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%82%E0%B8%AB%E0%B8%A7%E0%B9%88+Seccomp+%E0%B8%9A%E0%B8%99+Android+%E0%B8%A5%E0%B8%B1%E0%B8%81%E0%B8%A5%E0%B8%AD%E0%B8%9A%E0%B9%80%E0%B8%82%E0%B9%89%E0%B8%B2%E0%B8%88%E0%B8%B9%E0%B9%88%E0%B9%82%E0%B8%88%E0%B8%A1%E0%B9%80%E0%B8%84%E0%B8%A3%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B8%87
A- A+
แชร์หน้าเว็บนี้ :

Android นั้นเป็นหนึ่งในระบบปฏิบัติการที่ถูกโจมตีโดยแฮกเกอร์มากที่สุดระบบหนึ่ง ซึ่งรูปแบบการโจมตีของมัลแวร์ก็มีอยู่หลากวิธี ซึ่งวิธีที่ผู้อ่านจะได้เห็นบนข่าวนี้จัดเป็นหนึ่งในเทคนิคระดับที่สูงแต่ใช้งานได้ผลอย่างที่หลายคนคาดไม่ถึง

จากรายงานข่าวโดยเว็บไซต์ Bleeping Computer ได้มีการรายงานถึงการตรวจพบมัลแวร์ชนิดใหม่ ซึ่งถูกเรียกด้วยชื่อว่า Snowblind ซึ่งมีวิธีการลักลอบฝังตัวลงในระบบที่แตกต่างจากมัลแวร์ตัวอื่นที่ผ่านมา นั่นคือการใช้ช่องโหว่ของ “Seccomp” หรือ Security Computing ซึ่งเป็นฟีเจอร์ของ Linux Kernel ตัวหนึ่งที่อยู่บนระบบปฏิบัติการ Android ที่ทำหน้าที่คอยตรวจสอบแอปพลิเคชันต่าง ๆ เพื่อช่วยปกป้องผู้ใช้งานจากแอปพลิเคชันสอดไส้มัลแวร์ด้วยการทำ Application Repackaging

บทความเกี่ยวกับ Android อื่นๆ

ซึ่งทาง Google ได้ทำการฝังฟีเจอร์ความปลอดภัยนี้ไว้บนระบบปฏิบัติการ Android ตั้งแต่รุ่นที่ 8 เป็นต้นมา โดยการทำงานนั้น เมื่อตัวฟีเจอร์ตรวจพบการติดตั้งที่น่าสงสัย ก็จะทำการบล็อกในส่วนของ System Calls (Syscalls) เพื่อป้องกันไม่ให้ตัวแอปพลิเคชันต้องสงสัยสามารถรันขึ้นมาได้ แต่มัลแวร์ Snowblind ซึ่งมาในรูปแบบ Repackaging ร่วมกับแอปพลิเคชันต่าง ๆ เหมือนกัน กลับสามารถเจาะทะลุผ่านระบบป้องกันนี้

โดยแอปพลิเคชันที่ถูกนำมาทำ Repackage สอดไส้มัลแวร์ที่ทางทีมวิจัยตรวจพบนั้น ได้ตัวอย่างแอปพลิเคชันมาจากลูกค้ารายหนึ่งของบริษัท i-Sprint ซึ่งเป็นบริษัทด้านเทคโนโลยีความปลอดภัยทางไซเบอร์ และเป็นพาร์ทเนอร์กับทางทีมวิจัย โดยทางทีมวิจัยไม่ได้ระบุชื่อว่าเป็นแอปพลิเคชันตัวใด แต่มีการรายงานว่าแอปสอดไส้มัลแวร์ดังกล่าวนั้นกำลังระบาดอย่างหนักในโซนเอเชียตะวันออกเฉียงใต้ ซึ่งอาจรวมทั้งไทยด้วย

สำหรับการโจมตีเพื่อฝ่าระบบป้องกันของมัลแวร์ตัวดังกล่าวนั้น ตัวแอปพลิเคชันแฝงมัลแวร์ดังกล่าวจะทำการยิง Native Library ของตัว Snowblind ที่ทำการโหลดก่อนที่จะตัวระบบมีการรันโค้ด Anti-Tampering (ระบบป้องกันการติดตั้งแอปพลิเคชันที่มีการทำ Repackaging ขึ้นมา) หลังจากนั้นตัวไฟล์ก็จะทำการติดตั้งตัว Seccomp Filter เพื่อทำการหลอกฟีเจอร์ Seccomp ให้เปลี่ยนเป้าหมายการตรวจจับจากทั้งแพ็กเกจ ไปที่ตัวแอปปกติที่อยู่ในแพ็กเกจติดตั้ง ซึ่งเป็นการหลอกลวงว่าไฟล์ติดตั้ง (.APK) ดังกล่าวนั้นไม่ได้ถูก Repackage มาแต่อย่างใด ทำให้เกิดการรันทั้งในส่วนแอป และมัลแวร์ขึ้นมาพร้อมกันโดยที่เครื่องไม่มีอาการหน่วง และเหยื่อไม่มีทางรู้ตัวว่าได้ติดตั้งไฟล์ที่มีมัลแวร์ลงเครื่องไปแล้ว

มัลแวร์ Snowblind ใช้ช่องโหว่ Seccomp บน Android ลักลอบเข้าจู่โจมเครื่อง
ภาพจาก https://www.bleepingcomputer.com/news/security/snowblind-malware-abuses-android-security-feature-to-bypass-security/

มัลแวร์ Snowblind นั้นมีความสามารถในการขโมยข้อมูล และโจมตีเครื่องของเหยื่อที่หลากหลาย ไม่ว่าจะเป็นการปิดระบบรักษาความปลอดภัย 2 ชั้น (2 Factors Authentication หรือ 2FA) และ ฟีเจอร์การยืนยันตัวตนแบบ Biomatrics, การตรวจจับและบันทึกหน้าจอเพื่อขโมยข้อมูล, รวมไปถึงการส่งข้อมูลอ่อนไหวต่าง ๆ เช่น ข้อมูลรหัสผ่าน และข้อมูลทางการเงินกลับไปให้แฮกเกอร์ เป็นต้น

แหล่งข่าวนั้นไม่ได้ระบุว่า เหยื่อได้รับและติดตั้งแอปพลิเคชันสอดไส้มัลแวร์ดังกล่าวจากที่ใด แต่มีการยืนยันจากทาง Google ว่าไม่ได้มาจาก Google Play Store อย่างแน่นอน พร้อมยืนยันว่า ได้ทำการตรวจสอบแล้วว่าแอปพลิเคชันที่เป็นข่าวที่มีการให้ดาวน์โหลดบน Play Store นั้น ไม่มีมัลแวร์ซุกซ่อนอยู่อย่างแน่นอน พร้อมทั้งเสริมความเชื่อมั่นในด้านความปลอดภัยว่า ระบบ Google Play Protect จะทำการแจ้งเตือนก่อนติดตั้งบล็อกทุกแอปพลิเคชันที่มีความน่าสงสัยโดยไม่จำกัดว่าจะเป็นแอปพลิเคชันจากตัว Store เอง หรือว่าเป็นไฟล์ติดตั้งจากแหล่งอื่นก็ตาม


ที่มา : www.bleepingcomputer.com

0 %E0%B8%A1%E0%B8%B1%E0%B8%A5%E0%B9%81%E0%B8%A7%E0%B8%A3%E0%B9%8C+Snowblind+%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B8%8A%E0%B9%88%E0%B8%AD%E0%B8%87%E0%B9%82%E0%B8%AB%E0%B8%A7%E0%B9%88+Seccomp+%E0%B8%9A%E0%B8%99+Android+%E0%B8%A5%E0%B8%B1%E0%B8%81%E0%B8%A5%E0%B8%AD%E0%B8%9A%E0%B9%80%E0%B8%82%E0%B9%89%E0%B8%B2%E0%B8%88%E0%B8%B9%E0%B9%88%E0%B9%82%E0%B8%88%E0%B8%A1%E0%B9%80%E0%B8%84%E0%B8%A3%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B8%87
แชร์หน้าเว็บนี้ :
Keyword คำสำคัญ »
เขียนโดย
นักเขียน : Editor    นักเขียน
 
 
 

ข่าวไอทีที่เกี่ยวข้อง

 


 

แสดงความคิดเห็น