Header Ads

Breaking News
recent

132 แอพใน Google Play Store มีมัลแวร์ซ่อนอยู่ นักวิจัยเชื่อผู้พัฒนาถูกแฮ็ค

นักวิจัยด้านความมั่นคงปลอดภัยจาก Palo Alto Networks ออกมาแจ้งเตือนถึงการค้นพบร่องรอยของมัลแวร์ Windows ที่แฝงตัวอยู่ในแอพพลิเคชันบน Android รวมแล้ว 132 แอพ ซึ่งเปิดให้ผู้ใช้ดาวน์โหลดผ่าน Google Play Store เชื่อว่าไม่ได้มาจากฝีมือผู้พัฒนา แต่มาจากการที่ผู้พัฒนาเหล่านั้นถูกแฮ็ค
จากการตรวจสอบพบว่าแอพพลิเคชันเหล่านี้มี Iframe ขนาดเล็กซ่อนอยู่ในซอร์สโค้ด HTML พร้อมเตรียมเชื่อมต่อกับ C&C Server ของแฮ็คเกอร์เพื่อดาวน์โหลด Payload มาติดตั้ง อย่างไรก็ตาม ขณะที่นักวิจัยค้นพบร่องรอยมัลแวร์ของแอพพลิเคชันเหล่านั้น C&C Server ทั้งหมดหยุดให้บริการไปแล้ว แต่จากการตรวจสอบพบว่า Server เหล่านั้นมีประวัติเกี่ยวกับการดำเนินการอันไม่พึงประสงค์ เช่น มีส่วนร่วมในแคมเปญการแพร่กระจายมัลแวร์บน Windows

นอกจากการซ่อน Iframe ไว้ในซอร์สโค้ด แอพพลิเคชันบางแอพยังซ่อน VBScript ไว้ด้วยเช่นกัน โดยโค้ด VBScript ดังกล่าวจะพยายามติดตั้งไฟล์ EXE ที่ Encode แบบ Base64 ลงบนอุปกรณ์ Android ของผู้ใช้ ซึ่งแน่นอนว่าไฟล์ EXE นั้นไม่สามารถทำอันตรายอุปกรณ์ได้ เนื่องจากไม่ใช่ระบบปฏิบัติการ Windows ที่สำคัญคือ C&C Server ที่ติดต่อก็หยุดให้บริการไปแล้วเช่นกัน นักวิจัยจาก Palo Alto Networks ระบุว่า ในกรณีที่ไฟล์ดังกล่าวสามารถทำงานได้ มันจะดำเนินการแก้ไขไฟล์ที่ใช้ตั้งค่าระบบเครือข่าย เปลี่ยนการตั้งค่าไฟร์วอลล์ แทรกโค้ดแปลกปลอมเข้าไปในโปรเซส และแพร่กระจายตัวเองไปยังอุปกรณ์อื่นๆ


เป็นที่น่าแปลกใจมาว่า ทำไม C&C Server ทั้งหมดถึงหยุดให้บริการ รวมไปถึงพยายามติดตั้งมัลแวร์ Windows ลงบนอุปกรณ์ Android นักวิจัยจาก Palo Alto Networks ตอบข้อสงสัยนี้ว่า จริงๆ แล้วผู้พัฒนาแอพพลิเคชันไม่ได้เป็นคนใส่มัลแวร์ลงไปในแอพพลิเคชันของตน แต่พวกเขาเหล่านั้นก็ตกเป็นเหยื่อของแฮ็คเกอร์ตัวจริงด้วยเช่นกัน นักวิจัยเชื่อว่า ผู้พัฒนาน่าจะใช้งาน IDE ที่มีมัลแวร์แฝงตัวอยู่ ส่งผลให้มัลแวร์แอบเพิ่ม Iframe เข้าไปใน HTML ทุกหน้าที่สร้างขึ้น ซึ่งบางส่วนก็ถูกฝังลงไปในแอพพลิเคชัน Android หรือบางที Iframe อาจมาจากการใช้ Web-based App Generator หรือมัลแวร์ Ramnit ก็เป็นได้ ต้องตรวจสอบรายละเอียดต่อไป

นอกจากนี้ ผู้พัฒนาแอพพลิเคชันทั้ง 132 แอพนี้ รวม 7 คน เป็นผู้พัฒนาจากอินโดนีเซียทั้งหมด จึงเป็นไปได้สูงว่าพวกเขาจะติดมัลแวร์ผ่านทางไฟล์ Torrent หรือตกเป็นเหยื่อของแคมเปญการแพร่กระจายมัลแวร์ภายในประเทศของตน

ที่มา: https://www.bleepingcomputer.com techtalkthai.com/

No comments:

Powered by Blogger.