Android Malware

แอปฯแลกเปลี่ยนเงินสกุลออนไลน์ปลอมระบาดบน Google Play

แอปพลิเคชั่น Poloniex ปลอมกำลังระบาดบน Google Play

ด้วยกระแสของ Bitcoin และสกุลเงินออนไลน์อื่นๆที่เป็นที่นิยม Poloniex แอปพลิเคชั่นแลกเปลี่ยนสกุลเงินออนไลน์จึงถือกำเนิดขึ้นมาและเป็นที่นิยม และด้วยเหตุผลที่ Poloniex กำลังเป็นที่นิยม มิจฉาชีพออนไลน์หรือแฮกเกอร์จึงตัดสินใจพัฒนาโปรแกรมขโมยข้อมูลขึ้นมา 2 ตัว และปล่อยลงบน Google Play ซึ่งนอกจากจะขโมยข้อมูลเกี่ยวกับบัญชีกระเป๋าเงิน Poloniex แล้วยังหลอกให้ผู้ใช้มอบอำนาจการใช้อีเมล์ของ Gmail ให้แฮกเกอร์อีกด้วย

Poloniex เป็นหนึ่งใจผู้นำด้านการแลกเปลี่ยนสกุลเงินออนไลน์ ด้วยสกุลเงินออนไลน์นับ 100 ที่สามารถซื้อและอแลกเปลี่ยนกันได้ แค่เหตุผลนี้ก็เพียงพอที่จะดึงความสนใจจากแฮกเกอร์ได้แล้ว แต่ในกรณีนี้แฮกเกอร์อาศัยจุดบอดที่ Poloniex นั้นไม่มีแอปพลิเคชั่นสำหรับมือถือ จึงสร้างแอปพลิเคชั่นปลอมขึ้นมา

แฮกเกอร์อาศัยทุกกระแสเกี่ยวกับสกุลเงินออนไลน์ในทุกวิธีทาง ทั้งขโมยข้อมูล หรือเปลี่ยนให้คอมพิวเตอร์ของผู้ใช้กลายเป็นแรงงานขุดเหมืองให้กับพวกเขา

แอปพลิเคชั่น

แอปพลิเคชั่นปลอมตัวแรกที่ฝ่าด่านความปลอดภัยของ Google Play ได้ก็คือ “POLONIEX” โดยใช้ชื่อนักพัฒนาว่า “Poloniex” แอปพลิคเชั่นตัวนี้ได้อาศัยอยู่บน Google Play ตั้งแต่วันที่ 28 สิงหาคม 2017 ถึง 19 กันยายน 2017 และได้รับยอกดาวน์โหลดไปมากกว่า 5,000 ครั้ง

แอปพลิเคชั่นปลอมตัวที่สองมาในชื่อ “POLONIEX EXCHANGE” และใช้ชื่อนักพัฒนาว่า “POLONIEX COMPANY” อยู่บน Google ตั้งแต่วันที่ 15 ตุลาคม 2017 และได้รับยอดดาวน์โหลดไปเพียง 500 ครั้งก่อนที่ทาง ESET จะแจ้งให้ Google Play รับทราบ และถอดถอนแอปพลิเคชั่นออก

นอกจากที่เราจะบอกให้ทาง Google ทราบแล้ว เรายังแจ้งทาง Poloniex เกี่ยวกับการแอบอ้างครั้งนี้ด้วย

Figure1-1

Figure2-2

วิธีการทำงานของแอปพลิเคชั่นปลอม

สิ่งที่แฮกเกอร์ต้องการก็คือบัญชี Poloniex ของผู้ใช้ โดยหาวิธีการให้ผู้ใช้กรอกบัญชีและรหัสผ่านของตัวเองลงไป และนอกจากนี้แฮกเกอร์ยังต้องใช้อีเมล์ที่ใช้ยืนยันด้วย โดยแฮกเกอร์ต้องเลือกใช้วิธีที่ไม่ทำให้ผู้ใช้รู้ตัวว่ากำลังถูกล้วงข้อมูลอยู่

ทั้งสองแอปพลิเคชั่นใช้วิธีเดียวกัน

ขั้นตอนการล้วงข้อมูลเริ่มตั้งแต่เปิดแอปพลิคเชั่นขึ้นมา จากภาพด้านล่าง แอปลพิเคชั่นจะแสดงหน้าจอที่ให้กรอกชื่อบัญชีและรหัสผ่านของ Poloniex เพื่อ Sign in เข้าใช้งาน

ในกรณีที่ผู้ใช้ไม่ได้เปิดการทำงาน two-factor authentication หรือการยืนยันตัวตนสองขั้นตอน แฮกเกอร์จะสามารถใช้งานบัญชีของผู้ใช้ได้ นั่นหลายความว่าแฮกเกอร์สามารถเปลี่ยนการตั้งค่า เปลี่ยนรหัส หรือทำการซื้อขายได้

ในกรณีที่ผู้ใช้เปิดทำงาน two-factor authentication แฮกเกอร์จะไม่สามารถใช้งานบัญชีของผู้ใช้ได้ เนื่องจากแฮกเกอร์จะไม่ได้รับรหัสอีกชุดที่ระบบ two-factor authentication ส่งมาให้

Figure3

เมื่อทุกอย่างเสร็จสิ้นแล้ว พวกเขาจะเริ่มเจาะบัญชี Gmail ผู้ใช้จะรู้ได้โดยการเช็คในอีเมล์ว่ามีความพยายามจะล็อคอินเข้ามาใช้งาน โดยวิธีการเช็คสามารถทำได้โดยการล็อคอินเข้า Gmail ของตัวเองแล้วหาอีเมล์อย่างที่แสดงในภาพด้านล่าง

เนื่องจากการใช้งาน Poloniex นั้นจำเป็นต้องใช้ Gmail แฮกเกอร์จึงจำเป็นต้องใช้งาน Gmail เพื่อยืนยันธุรกรรมและใช้ทำกิจกรรมอื่นๆ

Figure4

Figure5

ท้ายที่สุดเพื่อทำให้แอปพลิเคชั่นดูน่าเชื่อถือ แฮกเกอร์จะเชื่อมต่อผู้ใช้กับเว็บไซต์จริงของ Poloniex เพื่อให้ลงชื่อเข้าใช้ และหลังจากนั้นทุกอย่างก็จะสามารถทำงานได้ตามปกติ แต่ขั้นตอนก่อนหน้านี้ทั้งหมดจะทำให้แฮกเกอร์ได้ข้อมูลของผู้ใช้ไปแล้ว

Figure6

วิธีป้องกันตัว

ถ้าคุณเป็นหนึ่งในคนที่ดาวน์โหลดแอปพลิเคชั่น Poloniex สำหรับมือถือมา เราแนะนำให้ท่านรีบถอนแอปพลิเคชั่นออก และเปลี่ยนรหัสผ่านของทั้ง Gmail และ Poloniex นอกจากนั้นให้เปิด two-factor authentication เพื่อความปลอดภัย

คำแนะนำเพื่อป้องกันการดาวน์โหลดแอปพลิเคชั่นปลอม

  • ตรวจสอบให้มั่นใจว่าองค์กรหรือนักพัฒนานั้นๆ มีให้บริการแอปพลิเคชั่นสำหรับมือถือจริงๆ
  • ให้ความสำคัญกับคะแนน และรีวิวของแอปพลิเคชั่น
  • แฮกเกอร์นิยมใช้เทคนิคก็อ้างตัวเองเป็นบริการของ Google ต้องตรวจสอบให้ดี
  • เปิดการใช้งาน Two-factor authentication
  • ติดตั้งโปรแกรมรักษาความปลอดภัยให้กับอุปกรณ์

Author: Lukas Stefanko
Source:
https://www.welivesecurity.com/2017/10/23/fake-cryptocurrency-apps-google-harvesting-credentials/
Translated by: Worapon H.

%d bloggers like this: