CYFIRMA บริษัทด้านความปลอดภัยไซเบอร์จากสิงคโปร์ ตรวจพบแอปพลิเคชันต้องสงสัยบน Play Store ในเครือ “SecurITY Industry” ได้แก่ Device Basic Plus, nSure Chat และ iKHfaa VPN
จากการตรวจสอบด้วยกระบวนการทางเทคนิค พบว่า แอปเหล่านี้มีลักษณะการทำงานที่เข้าข่ายมัลแวร์ และเป็นการโจมตีแบบภัยคุกคามขั้นสูง (APT) ที่เจาะจงเป็นรายบุคคล โดยมีกลุ่มที่ใช้ชื่อว่า “DoNot” อยู่เบื้องหลัง มีเป้าหมายในการโจมตีหลัก ๆ ในปากีสถานและประเทศแถบเอเชียใต้
แอปอันตรายเหล่านี้มีจุดประสงค์หลักคือการเปิดช่องโหว่ความปลอดภัยของสมาร์ทโฟนเป้าหมาย เพื่อเตรียมพร้อมสำหรับการโจมตีด้วยมัลแวร์อื่น ๆ ในขั้นต่อไป (เหมือนส่งสายลับมาเปิดประตูเมืองให้) โดยใช้ชุดคำสั่ง Android ในการแกะรายชื่อผู้ติดต่อและหาตำแหน่งของเหยื่อ และมีการคัดลอกโค้ดอันตรายลงไปในแฝงในชุดคำสั่งของ Android เพื่อหลอกให้ระบบดึงโค้ดอันตรายขึ้นมาใช้ และเปิดช่องโหว่ขึ้นในระบบ จากนั้นจะหลอกให้เหยื่อกดลิงค์ใน Telegram หรือ WhatsApp เพื่อติดตั้งแอปอันตรายลงในเครื่อง
CYFIRMA พบว่า ตัวแอปมีการเข้ารหัสแบบ AES/CBC/PKCS5PADDING และใช้เทคนิคแปลงโค้ด (obfuscation) ด้วย Proguard เพื่ออำพรางคุณลักษณะอันตรายของแอป ซึ่งเป็นวิธีการเดียวกันกับที่กลุ่ม DoNot ใช้ ทำให้ตรวจจับยาก
ยังไม่ทราบว่าแอปอันตรายเหล่านี้ผ่านการตรวจสอบจาก Google จนขึ้นมาบน Play Store ได้อย่างไร แต่ปัจจุบันแอป Device Basic Plus และ nSure Chat ยังไม่ถูกถอดออกจาก Play Store จึงควรหลีกเลี่ยงแอปทั้งสองตัวนี้ไว้ครับ
ที่มา : Gizmochina
วันที่ : 20/6/2566