ซอฟต์แวร์
แอปพลิเคชันบนมือถือ
เช็คความเร็วเน็ต (Speedtest)
เช็คไอพี (Check IP)
เช็คเลขพัสดุ
สุ่มออนไลน์ (Online Random)
มินิเกม
สปายแวร์ Mandrake ระบาดหนักบนผู้ใช้ Android ติดร่วม 32,000 ราย พบต้นตอซ่อนบน Google Play มานานกว่า 2 ปี
Sarun_ss777
Google Play Store นั้นถึงแม้จะเป็นแอปสโตร์ที่ถูกบริหารโดยทาง Google โดยตรง แต่ก็ไม่วายตกเป็นข่าวเรื่องเหยื่อหลงดาวน์โหลดแอปปลอม จนได้แอปปนมัลแวร์เข้าทำร้ายเครื่องเหยื่ออยู่อย่างบ่อยครั้ง และครั้งนี้ก็เป็นอีกครั้งหนึ่ง
จากรายงานโดยเว็บไซต์ Infosecurity Magazine ได้รายงานถึงการที่ทีมวิจัยแห่ง Kaspersky บริษัทนักพัฒนาซอฟต์แวร์แอนตี้ไวรัสชื่อดังได้ตรวจพบมัลแวร์ Mandrake ที่ฝังอยู่บนแอปพลิเคชันถึง 5 ตัวที่มีให้ดาวน์โหลดอยู่บน Google Play และแอปพลิเคชันเหล่านี้ถูกดาวน์โหลดไปแล้วถึง 32,000 ครั้ง โดยเพียงแค่แอปพลิเคชันปลอมอย่าง AirFS ก็ถูกดาวน์โหลดไปกว่า 30,000 ครั้งแล้ว ก่อนถูกถอดออกจาก Google Play Store ในช่วงเดือนมีนาคมที่ผ่านมาหลังจากที่ตัวแอปนั้นฝังตัวอยู่บน Google Play มายาวนานกว่า 2 ปี นับตั้งแต่ปี ค.ศ. 2022 (พ.ศ. 2564) โดยรายชื่อแอปฯ ทั้ง 5 ประกอบไปด้วย
- อวสานสิงห์พนัน ! แฮกเกอร์แฝงมัลแวร์ WrnRAT ในเกมพนัน เพื่อขโมยข้อมูลของเหยื่อ
- เตือนภัย! พบ 12 แอปฯ อันตรายบน Android สามารถแอบบันทึกเสียงพูดคุยโทรศัพท์ได้
- Black Basta กลับมาแล้ว คราวนี้แฮกเกอร์ปลอมตัวเป็น IT Support บน Microsoft Teams หลอกลวงแพร่มัลแวร์
- ตรวจพบมัลแวร์เรียกค่าไถ่ NotLockBit โจมตี macOS ที่ใช้ชิป Intel หรือมี Resetta Emulation อยู่
- มัลแวร์ Ghostpulse มีความสามารถในการซ่อนตัวในไฟล์ .PNG เพื่อเข้าโจมตีเหยื่อ
- AirFS (com.airft.ftrnsfr)
- Amber (com.shrp.sght)
- Astro Explorer (com.astro.dscvr)
- Brain Matrix (com.brnmth.mtrx)
- CryptoPulsing (com.cryptopulsing.browser)
ภาพจาก https://thehackernews.com/2024/07/new-mandrake-spyware-found-in-google.html
สำหรับการทำงานของมัลแวร์ Mandrake ซึ่งเป็นมัลแวร์ประเภทสอดส่องข้อมูล (Spyware) บนอุปกรณ์ที่ใช้ระบบปฏิบัติการ Android นั้น มีการทำงานหลังจากการฝังตัวเองลงเครื่องของเหยื่อผ่านแอปพลิเคชันที่ค่อนข้างซับซ้อน โดยหลังจากที่เหยื่อติดตั้งแอปพลิเคชันปลอมลงสู่เครื่องแล้ว มัลแวร์ก็จะเริ่มทำงานในส่วนของ Native Library ทำให้การถูกตรวจจับนั้นเป็นไปได้ยาก ซึ่งเรียกว่าพัฒนามาจาก Mandrake ในรุ่นก่อนที่ฝังโค้ดไว้บนไฟล์ Dex ซึ่งหลังจากที่ตัว Library ในขั้นแรกได้ถูกถอดรหัส (Decrypt) และโหลดลงสู่ระบบแล้ว ตัวมัลแวร์ก็จะเริ่มทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) หลังจากนั้น ถ้าฝั่งปลายทางของแฮกเกอร์เห็นว่าสมควร ก็จะเริ่มทำการปล่อยมัลแวร์ตัวจริงสู่เครื่องของเหยื่อแล้วทำการรัน
โดยความสามารถของสปายแวร์ตัวนี้นั้น มีความสามารถในการขโมยข้อมูลรหัสผ่านต่าง ๆ ของเหยื่อ และมีความสามารถในการเป็นตัวกลางในการดาวน์โหลดและรันมัลแวร์ตัวอื่น ๆ ตามแต่ที่ทางแฮกเกอร์เห็นสมควร ซึ่งนอกจากความสามารถในการเล่นงานเหยื่อ และหลบเลี่ยงการตรวจจับตามที่กล่าวมาข้างต้นแล้วนั้น ตัวมัลแวร์ก็ยังมีความสามารถในการตรวจสอบสถานะของเครื่องของเหยื่ออีกว่า อยู่ในสภาวะจำลองการทำงาน (Emulation), เป็นเครื่องที่ถูก Rooted, หรือ บนเครื่องติดตั้งเครื่องมือวิเคราะห์ไว้อยู่หรือไม่? ซึ่งเป็นฟีเจอร์ที่สร้างปัญหาทั้งในด้านการตรวจจับโดยอุปกรณ์ต่าง ๆ และการวิเคราะห์โดยผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์เป็นอย่างมาก
การป้องกันภัยดังกล่าวนั้น นอกจากที่ผู้ใช้งานจะต้องหลบเลี่ยงไม่ดาวน์โหลดแอปพลิเคชันที่ดูไม่น่าไว้วางใจแล้ว ทางผู้ใช้บริการก็อาจมีความจำเป็นต้องรวมพลังส่งเสียงร้องเรียนไปยังผู้ให้บริการแอปสโตร์ อย่างเช่นทาง Google ให้มีการตรวจสอบอย่างเข้มงวดก่อนที่จะทำการอนุมัติแอปพลิเคชันให้สามารถดาวน์โหลดบน Google Play อีกด้วย เนื่องจากการตรวจสอบที่เลินเล่อไม่ถี่ถ้วนนั้นก่อความเสียหายให้กับลูกค้า และผู้ใช้บริการจำนวนมาก
ที่มา : www.infosecurity-magazine.com , thehackernews.com
คำสำคัญ »
|
|
ข่าวไอทีที่เกี่ยวข้อง
แสดงความคิดเห็น
ข่าวไอที ยอดนิยม
ข่าวไอทีแนะนำ
ข่าวประชาสัมพันธ์
Thaiware.com is owned and operated by Thaiware Communication Co., Ltd.