Android

แอปพลิเคชัน Prisma ปลอมระบาดบน Google Play

ก่อนที่แอปพลิเคชัน Prisma จะเปิดตัวอย่างเป็นทางการ อาชญากรจึงฉวยโอกาสสร้างแอปพลิเคชันที่ทำเลียนแบบ Prisma ที่ออกแบบโดยอาชญากรไซเบอร์ และปล่อยลงบน Google Play Store

นักวิจัยของ ESET จึงนำแอปพลิเคชันเหล่านั้นมาทำการทดลอง ซึ่งมีหลายแอปพลิเคชันมี Trojan Downloaders แฝงตัวอยู่ แต่ทีมความปลอดภัยของ Google Play ก็นำออกเป็นที่เรียบร้อยแล้วหลังจากที่ ESET ส่งข้อมูลไป แต่ ณ ตอนนั้นแอปพลิเคชันเลียนแบบมียอดดาวน์โหลดมากกว่า 1.5 ล้านครั้ง

Prisma เป็นแอปพลิเคชันแต่งภาพที่ไม่เหมือนใคร เป็นผลงานของทีมพัฒนา Prisma labs, Inc เปิดตัวครั้งแรกบนระบบปฏิบัติการ iOS และได้รับความนิยมมากบน iTunes และ App Store จนเหล่าสาวก Android ต่างอดใจไม่ไหวกันไปตามๆกัน

เทคนิคของเหล่าอาชญากรก็คือ อาศัยการปล่อยแอปพลิเคชันปลอมก่อนที่แอปพลิเคชันจริงจะออกเพื่อดึงยอดดาวน์โหลดจากผู้ใช้ที่ไม่รู้อิโหน่อิเหน่ และผู้ใช้ที่รอไม่ไหว เนื่องผู้ใช้ที่เสิร์ชหาแอปพลิเคชันด้วยชื่อย่อมต้องการที่ดาวน์โหลดแอปพลิเคชันเหล่านั้นอย่างแน่นอน

ฟังก์ชันของมัลแวร์

แอปพลิเคชันปลอมส่วนมากที่เราพบบน Google Play ไม่มีคุณสมบัติในการตกแต่งภาพแต่อย่างใด นอกจากภาพโฆษณาปลอม และแบบสอบถามที่ไม่มีความเกี่ยวข้องซึ่งยังหลอกให้ผู้ใช้กรอกข้อมูลส่วนตัวลงไป หรือให้สมัครสมาชิกบริการ ถึงบางอันจะสามารถแต่งภาพได้นิดหน่อยแต่ก็จะทยอยเปิด pop-up ขึ้นมาอย่างต่อเนื่อง หรือ แสดงการแจ้งเตือนปลอมเพื่อหลอกให้ผู้ใช้ติดตั้งมัลแวร์

Screen-Shot-2016-08-02-at-09.02.05

แอปพลิเคชันที่อันตรายที่สุดที่เราพบบน Google Play ก่อนที่เวอร์ชันจริงของ Prisma จะออกมี Trojan Downloaders แฝงตัวอยู่โดยชื่อที่ ESET ตรวจจับได้ก็คือ Android/TrojanDownloader.Agent.GY ควบคู่ไปกับแบบสอบถามปลอม โดยโทรจันตัวนี้สามารถทำงานได้โดยที่เราไม่สามารถมองเห็น

มัลแวร์ตัวนี้จะส่งข้อมูลของอุปกรณ์ไปยังเซิร์ฟเวอร์ C&C และดาวน์โหลดโมดูลเพื่อเปิดใช้งาน กระบวนการนี้ทำอย่างต่อเนื่องพร้อมกับขโมยข้อมูลอย่างเบอร์โทรศัพท์, ประเทศ, ภาษา และอื่นๆ

แอปพลิเคชันที่บรรจุ Trojan Downloaders 5 แอปพลิเคชันบน Google Play มี 2 อันที่มีความสามารถหลอกเอาข้อมูลจากผู้ใช้ หรือนำผู้ไปยังหน้าล็อคอินปลอม

Screen-Shot-2016-08-02-at-09.01.57

ด้วยความสามารถของ Android/TrojanDownloader.Agent.GY ที่ทำให้ผู้ใช้กว่า 10,000 คนตกอยู่ในความเสี่ยง ก่อนที่แอปพลิเคชันเหล่านี้จะถูกนำออกจาก Google Play Store

Screen-Shot-2016-08-02-at-09.02.25

ตัวอย่างแอปพลิเคชันปลอมที่สร้างความเดือนร้อนให้กับผู้ใช้อย่าง Pokemon GO และอื่นๆ

สรุปง่ายๆ

วิธีการสังเกตแอปพลิเคชันปลอมอย่างตัวอย่างของ Prisma แอปพลิเคชันปลอมของ Prisma นั้นมีขนาดที่ใหญ่มากกว่าตัวแอปพลิเคชันจริง เป็นการบ้านที่ยากของ Google Play ที่จะต้องตรวจตาแยกแยะแอปพลิเคชันจริง เพราะมิจฉาชีพใช้ความใกล้เคียงของชื่อ, รูปภาพ, ไอคอน, ชื่อทีมพัฒนา และภาพหน้าจอเลียนแบบ

Screen-Shot-2016-08-02-at-09.07.02

คำแนะนำสำหรับการดาวน์โหลดแอปพลิเคชัน:

  • ดาวน์โหลดจากแหล่งที่เป็นที่รู้จัก
  • อ่านคอมเม้นท์และรีวิว จากผู้ใช้ที่เคยดาวน์โหลดโดยเฉพาะคอมเม้นท์เชิงลบ (เพราะเชิงบวกสามารถสร้างเองได้)
  • อ่านข้อตกลงและเงื่อนไขก่อนติดตั้ง
  • ใช้แอปพลิเคชันรักษาความปลอดภัยที่เชื่อถือได้
%d bloggers like this: