Android Malware Top Stories

จะเกิดอะไรขึ้นเมื่อ App Store เป็นผู้ปล่อยไวรัสเสียเอง?

App Store ของตุรกีกลายเป็นพื้นที่ดาวน์โหลดมัลแวร์อันตราย

นักวิจัยของ ESET พบว่าเว็บไซต์แอนดรอยด์สโตร์ CepKuTusu.com จากตุรกี แพร่กระจายมัลแวร์โดยใช้หน้าตาของแอปพลิเคชั่นแอนดรอยด์

เมื่อผู้ใช้เข้าเว็บไซต์ CepKutusu.com เพื่อดาวน์โหลดแอปพลิเคชั่นบนแอนดรอยด์ สิ่งที่พวกเขาได้รับกลับเป็นโปรแกรมอันตรายแทนที่จะเป็นแอปพลิเคชั่นที่ต้องการ

แต่เพียงไม่กี่สัปดาห์หลังจากทาง ESET แจ้งให้ผู้ดูแลสโตร์ดังกล่าวทราบ พวกเขาก็หยุดการแพร่กระจายโดยทันที

นักวิจัยของ ESET บอกว่านี่เป็นผลงานของแฮกเกอร์ที่เปลี่ยนเส้นทางการดาวน์โหลดจากแอปพลิเคชั่นเป็นโปรแกรมที่แฮกเกอร์เตรียมไว้ ทำให้ดาวน์โหลดได้ไฟล์อันตรายแทนที่จะเป็นตัวแอปพลิเคชั่น

เหตุผลที่แฮกเกอร์สามารถซ่อนตัวอยู่ในเว็บไซต์ได้อาจเป็นเพราะแฮกเกอร์ได้ตั้งเวลาของ Cookie ไว้ 7 วัน ก่อนให้โปรแกรมอันตรายตัวนี้ทำงาน และพาผู้ใช้กลับมาดาวน์โหลดอีกครั้งเมื่อผู้ใช้ต้องการดาวน์โหลดแอปพลิเคชั่น

โปรแกรมอันตรายที่แฮกเกอร์ใส่มาคือ โปรแกรมแทรกซึมธุรกรรมออนไลน์ที่สามารถ ขัดขวางการส่ง SMS เพื่อดูรหัส OTP หรือแสดงหน้าจอธุรกรรมปลอม แม้กระทั่งดาวน์โหลดและติดตั้งแอปพลิเคชั่นอื่นๆ

จากภาพด้านล่างจะแสดงให้เห็นก่อน-หลังที่ผู้ใช้ได้รับ Cookie ที่แฮกเกอร์ทำไว้:

Figure1.png

ทางเราจึงสัมภาษณ์นักวิจัยมัลแวร์ของ ESET คุณ Lukáš Štefanko ซึ่งคุณ Štefanko เชี่ยวชาญด้านมัลแวร์บนแอนดรอยด์ และเขาเป็นคนพบเหตุการณ์นี้ด้วย

App store เป็นผู้ให้บริการผู้ใช้ส่วนมาก และการที่มีมัลแวร์อยู่บนสโตร์นั้นค่อนข้างอันตรายมาก คุณมีความคิดเห็นอย่างไร?

นี่เป็นครั้งแรกที่เราเห็น App Store โดนแฮกเกอร์เลานงานในรูปแบบนี้ ถึงแม้ใน Windows จะเคยมีกรณีแบบนี้มาบ้าง แต่สำหรับแอนดรอยด์นี่นับเป็นครั้งแรก

สำหรับผลกระทบส่วนตัวผมคิดว่าการเปลี่ยนเส้นทางการดาวน์โหลดนี่เป็นรูปแบบทั่วไปที่แฮกเกอร์ทำ ซึ่งในมุมของผู้ใช้เองก็สามารถเห็นความผิดปกตินี้ได้ไม่ยาก เพราะเมื่อคุณเห็นชื่อไฟล์ก็รู้ได้ทันทีเลยว่าไม่ใช่แอปพลิเคชั่นที่คุณต้องการ

นี่เป็นเหตุผลที่อัตราการติดไวรัสถึงมีแค่หลักร้อย

เพราะฉะนั้นก็เลยไม่ต้องเป็นห่วง?

ส่วนตัวผมคิดว่านี่เป็นแค่การทดสอบมากกว่า เพราะผมเห็นความเป็นได้ที่มากกว่านี้ อย่างเช่นการทำแอปฯปลอมให้ผู้ใช้ดาวน์โหลดบนสโตร์ ซึ่งแนบเนียนพอที่จะทำให้ผู้ใช้ติดตั้งมัลแวร์มากกว่าเดิม

แล้วคุณพบเบาะแสที่จะสาวไปถึงผู้บงการได้หรือเปล่า?

เท่าที่คาดการณ์มีความเป็นไปได้ 3 แบบ: 1.ตัวสโตร์เป็นผู้ทำเอง 2.มีพนักงานแอบทำ 3.โดนแฮกเกอร์รีโมตเข้ามา

แบบที่ 2 และ 3 ผมไม่คิดว่าทางสโตร์จะไม่เห็น เพราะผู้ใช้ก็จะส่งข้อความเข้ามาแจ้งแน่นอน เมื่อที่พวกเขาไม่ได้รับแอปฯที่ต้องการ และบันทึกต่างๆก็สามารถบอกได้ โดยเฉพาะในกรณีที่ต้องใช้เวลาแบบนี้

วิธีป้องกัน (โดยคุณ Štefanko)

  • เลือกดาวน์โหลดแอปพลิเคชั่นจากแหล่งที่น่าเชื่อถือ หรือ App Store หลักอย่าง Google Play เนื่องจากสโตร์เหล่านี้มีมาตรการรักษาความปลอดภัยที่ค่อนข้างแน่นหนา
  • ระมัดระวังเวลาดาวน์โหลดแอปฯจากทางอินเตอร์เน็ต ให้สังเกตชื่อไฟล์ ขนาด และแหล่งที่มา
  • ใช้โปรแกรมรักษาความปลอดภัย หากคุณเป็นหนึ่งคนที่ชอบดาวน์โหลดแอปฯเป็นไฟล์ APK

Author: Peter Stancik
Source:
https://www.welivesecurity.com/2017/07/25/malware-found-lurking-behind-every-app-alternative-android-store/
Translated by: Worapon H.

%d bloggers like this: