Google ลบมัลแวร์ที่เป็นอันตรายต่อธนาคารออกจาก Play Store
2022.06.14
Google ลบมัลแวร์ที่เป็นอันตรายต่อธนาคารออกจาก Play Store
โทรจัน Android Banking ที่เป็นอันตรายซึ่งเรียกว่า SharkBot ปรากฏขึ้นครั้งแรกเมื่อเดือนตุลาคมปีที่แล้ว และยังคงแพร่กระจายอยู่ ตัวอย่างล่าสุดของการคงอยู่ของตัวคุกคามในการพยายามเผยแพร่มัลแวร์บนมือถือผ่านร้านแอปมือถือ Trusted Google Play
ผู้ค้นพบมัลแวร์อธิบายว่าเป็น “รุ่นต่อไป” อุปกรณ์ Android ที่ถูกบุกรุกเพื่อโอนเงินออกจากบัญชีธนาคารอย่างลับๆ เมื่อเหยื่อลงชื่อเข้าใช้ โดยไม่ผ่านการควบคุมการตรวจสอบสิทธิ์แบบหลายปัจจัยในกระบวนการ SharkBot สามารถขโมยข้อมูลประจำตัวและข้อมูลบัตรเครดิตและบรรจุคุณลักษณะหลายอย่างที่ออกแบบมาเพื่อทำให้การตรวจจับซับซ้อนหรือช้าลง
ในช่วงเดือนที่ผ่านมา นักวิจัยจาก Check Point Research ระบุอย่างน้อยหกแอปพลิเคชันที่แตกต่างกันบน Google Play ที่ปลอมแปลงเป็นซอฟต์แวร์ป้องกันไวรัสที่ถูกต้อง แต่กลับถูกใช้เพื่อวาง SharkBot บนอุปกรณ์ของผู้ที่ดาวน์โหลดแอป แอปทั้งหกถูกอัปโหลดจากบัญชีนักพัฒนาซอฟต์แวร์สามบัญชีแยกกัน และดาวน์โหลดมากกว่า 15,000 ครั้งในระยะเวลาอันสั้นที่มีให้ใน Google Play
Check Point ค้นพบแอปพลิเคชันสี่ตัวที่แจกจ่าย SharkBot เมื่อวันที่ 23 กุมภาพันธ์ พ.ศ. 2565 และรายงานไปยัง Google เมื่อวันที่ 3 มีนาคม ซึ่งเป็นวันเดียวกับที่ NCC Group ซึ่งเป็นผู้ให้บริการด้านความปลอดภัยรายอื่นรายงานว่าพบภัยคุกคามแบบเดียวกันในร้านแอปบนอุปกรณ์เคลื่อนที่อย่างเป็นทางการของ Google ด้วยเช่นกัน Google ลบแอพปลอมออกจาก Google Play ประมาณหนึ่งสัปดาห์ต่อมา แต่ไม่ถึงหนึ่งสัปดาห์ต่อมา — และอีกครั้งหนึ่งสัปดาห์หลังจากนั้น — Check Point ค้นพบแอพอีกสองแอพที่มีมัลแวร์ใน Google Play ในทั้งสองกรณี ทีมรักษาความปลอดภัยของ Google ได้ดำเนินการอย่างรวดเร็วเพื่อกำจัดภัยคุกคามก่อนที่ผู้ใช้จะดาวน์โหลด
โฆษกของ Google ยืนยันว่าบริษัทได้ลบร่องรอยของมัลแวร์ทั้งหมดออกจาก Play แล้ว ในบล็อกของสัปดาห์นี้ Check Point ได้เน้นย้ำถึงคุณลักษณะหลายอย่างใน SharkBot ซึ่งอธิบายได้ถึงขอบเขตที่หลายครั้งที่ผู้เขียนมัลแวร์สามารถข้ามการป้องกันของ Google เพื่ออัปโหลดไปยัง Play App Store เคล็ดลับของ SharkBot รวมถึงการหน่วงเวลา ความสามารถในการตรวจจับว่าทำงานอยู่ในแซนด์บ็อกซ์หรือไม่ และรักษาฟังก์ชันที่เป็นอันตรายส่วนใหญ่ไว้ในโมดูลที่ดาวน์โหลดจากเซิร์ฟเวอร์คำสั่งและควบคุมภายนอกหลังจากกระบวนการตรวจสอบแอปของ Play เสร็จสิ้น
แง่มุมหนึ่งของ SharkBot ที่ Check Point กล่าวว่าแทบไม่พบเห็นในมัลแวร์ Android คือการใช้ Domain Generation Algorithm (DGA) เพื่อสลับโดเมน C2 ต่อไป ดังนั้นการบล็อกภัยคุกคามจึงยากขึ้น สิ่งที่น่าสังเกตอีกอย่างคือความสามารถในการระบุตำแหน่งทางภูมิศาสตร์ใน SharkBot ที่ทำให้แน่ใจว่ามัลแวร์จะไม่ทำงานบนอุปกรณ์ Android ที่ตั้งอยู่ในจีน รัสเซีย ยูเครน อินเดีย เบลารุส และโรมาเนีย
“DGA เป็นอัลกอริธึมที่ไคลเอนต์ที่ประสงค์ร้ายและผู้กระทำผิดสามารถเปลี่ยนแปลงเซิร์ฟเวอร์ C2 ได้พร้อมกัน โดยไม่ต้องมีการสื่อสารใดๆ” Alexander Chailytko ผู้จัดการฝ่ายวิจัยความปลอดภัยทางไซเบอร์และนวัตกรรมของ Check Point Software กล่าว ด้วย DGA Sharkbot สามารถสร้างโดเมนได้ 35 โดเมนต่อสัปดาห์ ซึ่งทำให้กระบวนการบล็อกเซิร์ฟเวอร์ของผู้ให้บริการมัลแวร์ซับซ้อนขึ้น
ความจริงที่ว่าการกระทำที่เป็นอันตรายทั้งหมดของ SharkBot นั้นถูกเรียกจากเซิร์ฟเวอร์คำสั่งและการควบคุมก็หมายความว่าแอพที่เป็นอันตรายสามารถอยู่ในสถานะ “ปิด” ในระหว่างระยะเวลาทดสอบใน Google Play และเปิด “เปิด” เมื่อไปถึง อุปกรณ์ของผู้ใช้ Chalytko กล่าว
ฟังก์ชั่นที่ซับซ้อน
ทั้ง Cleafy ซึ่งเป็นคนแรกที่ค้นพบมัลแวร์และกลุ่ม NCC ในรายงานเมื่อเดือนที่แล้วระบุว่า SharkBot ใช้เทคนิคที่เรียกว่า Automatic Transfer Systems (ATS) เพื่อเริ่มการโอนเงินจากบัญชีธนาคารของเจ้าของอุปกรณ์ Android ที่ติด SharkBot เทคนิคนี้โดยทั่วไปเกี่ยวข้องกับฟิลด์และรูปแบบการป้อนอัตโนมัติของมัลแวร์ที่ธนาคารมักต้องการเพื่อเริ่มต้นการโอนเงิน เมื่อเหยื่อใช้อุปกรณ์ที่ถูกบุกรุกเพื่อเข้าสู่บัญชีธนาคารของพวกเขา การโจรกรรมดังกล่าวอาจตรวจพบได้ยาก เนื่องจากสามารถข้ามการตรวจสอบแบบหลายปัจจัยและดำเนินการโดยผู้ใช้ที่เชื่อถือได้ซึ่งมีอุปกรณ์ที่ลงทะเบียนไว้ก่อนหน้านี้ Cleafy กล่าว
Chris Clements รองประธานฝ่ายสถาปัตยกรรมโซลูชันของ Cerberus Sentinel กล่าวว่าแอปมัลแวร์ที่ใช้การหน่วงเวลา เทคนิคการทำให้สับสนของโค้ด และการระบุตำแหน่งทางภูมิศาสตร์อาจตรวจพบได้ยาก อย่างไรก็ตาม ความสม่ำเสมอของการค้นพบพวกเขาในร้านค้าแอปอย่างเป็นทางการของ Google และ Apple ทำลายความไว้วางใจของผู้ใช้ในความปลอดภัยของแอปทั้งหมดบนแพลตฟอร์มเหล่านี้ โดยเฉพาะอย่างยิ่งเนื่องจากผู้ขายทั้งสองกล่าวว่าร้านแอปของตนปลอดภัย Clements กล่าวว่า “มันเป็น ปัญหาใหญ่ส่วนหนึ่งเป็นเพราะความสำเร็จในการประนีประนอมอุปกรณ์มือถือที่เป็นศูนย์กลางของชีวิตดิจิทัลของบุคคลทำให้ผู้โจมตีเข้าถึงได้ในวงกว้างเพื่อสร้างความเสียหายที่สำคัญ”
เขาสนับสนุนให้ผู้ใช้อุปกรณ์เคลื่อนที่ให้ความสำคัญกับการอนุญาตที่พวกเขามอบให้กับแอปที่ดาวน์โหลด โดยเฉพาะแอปที่ต้องการเข้าถึง “บริการการเข้าถึง” บน Android เพื่อช่วยเหลือผู้ใช้ที่มีความพิการ
https://www.darkreading.com/endpoint/google-removes-dangerous-banking-malware-from-play-store
บทความที่เกี่ยวข้อง
ข่าว
ความปลอดภัย
มัลแวร์ Octo2 ตัวใหม่คุกคามความปลอดภัยของธนาคารบนมือถือ
นักวิจัย ThreatFabric พบว่าตัวแปรนี้ลดเวลาแฝงได้อย่างมากระหว่างเซสชันการควบคุมระยะไกล แม้ภายใต้สภาวะเครือข่ายที่ไม่ดีก็ตาม ด้วยการเพิ่มประสิทธิภาพการส่งข้อมูล นอกจากนี้ Octo2 ยังบูรณาการเทคนิคการบดบังขั้นสูง รวมถึงอัลกอริทึมการสร้างโดเมน (DGA) ซึ่งทำให้มัลแวร์สามารถเปลี่ยนที่อยู่เซิร์ฟเวอร์คำสั่งและการควบคุม (C2) แบบไดนามิก ทำให้การตรวจจับมีความท้าทายยิ่งขึ้น
2024.09.27
ข่าว
บริการใหม่
โปรโมชั่น
สรุปข่าวลือ iPhone 16 Series มีอะไรใหม่บ้าง มีจำหน่ายแล้ววันนี้ !
2024.09.24
ข่าว
ความปลอดภัย
ตำรวจสิงคโปร์จับกุมแฮกเกอร์ 6 รายที่เชื่อมโยงกับกลุ่มอาชญากรไซเบอร์ระดับโลก
ชายทั้ง 6 คน อายุระหว่าง 32-42 ปี ถูกสงสัยว่ามีส่วนเกี่ยวข้องกับ "กลุ่มอาชญากรระดับโลก" ที่ก่ออาชญากรรมไซเบอร์ จากปฏิบัติการดังกล่าว ทางการได้ยึดอุปกรณ์อิเล็กทรอนิกส์และเงินสดได้ นอกจากนี้ ชายสัญชาติสิงคโปร์ยังถูกตั้งข้อหาสนับสนุนการเข้าถึงเว็บไซต์โดยไม่ได้รับอนุญาต ซึ่งเป็นความผิดที่ต้องรับโทษปรับไม่เกิน 5,000 ดอลลาร์สิงคโปร์ (3,830 ดอลลาร์สหรัฐ) หรือจำคุกไม่เกิน 2 ปี หรือทั้งจำทั้งปรับ สำหรับผู้กระทำผิดครั้งแรก
2024.09.12