Android Malware Top Stories

Multi-stage malware เจาะเข้า Google Play Store

Google Play ถูกแอปฯปลอมแทรกซึม ด้วยเทคนิคการตั้งเวลาก่อนเริ่มทำงานกิจกรรมอันตราย

อีกครั้งที่แอปลพิเคชั่นอันตรายได้แทรกซึมเข้าไปใน Google Play Store โดยระบบความปลอดภัย ESET ตรวจจับได้ในชื่อ Android/TrojanDropper.Agent.BKY แอปพลิเคชั่นเหล่านี้มีหน้าตาเหมือนกับแอปพลิเคชั่นจริง และถูกตั้งเวลาให้เริ่มกิจกรรมอันตราย เรียกว่า Multi-stage Android Malware

พวกเราพบ 8 แอปพลิเคชั่นบน Google Play และแจ้งให้ทาง Google ทราบและถอนแอปพลิเคชั่นเหล่านี้จาก Google Play Store

Figure1-768x194

แอปพลิเคชั่นเหล่านี้ถูกดาวน์โหลดไปเพียงไม่กี่ร้อยครั้งเท่านั้น แต่ความสามารถของมันที่น่าสนใจ และมีความเป็นไปได้ที่จะถูกนำไปต่อยอดในอนาคต

Anti-detection features

แอปพลิเคชั่นเหล่านี้มีโครงสร้างที่ซับซ้อน และการเข้ารหัส เพื่อป้องกันการตรวจสอบ

หลังจากที่ดาวน์โหลดและติดตั้งแอปพลิเคชั่นเหล่านี้ ตัวแอปพลิเคชั่นจะไม่ขออนุญาตใดๆที่ทำให้ผิดสังเกต และยังคัดลอกความสามารถของแอปพลิเคชั่นต้นฉบับ

แต่หลังจากนั้นแอปฯอันตรายที่ซ่อนอยู่จะถูกถอดรหัสและเริ่มทำงานตัว Payload (ขั้นตอนแรก) และจะทำการถอดรหัสและเริ่มทำงาน Payload (ขั้นตอนที่สอง) โดยกระบวนการทั้งหมดนี้เกิดขึ้น โดยที่ผู้ใช้ไม่รู้ตัว

ใน Payload ของขั้นตอนที่สองจะมีโค้ดที่จะดาวน์โหลดแอปพลิเคชั่น Adobe Flash Player ปลอม พร้อมขออนุญาตการใช้งาน

Figure3-576x1024

ในกรณีที่เราวิเคราะห์ แอปพลิเคชั่นอันตรายนี้เป็นตัวขโมยข้อมูลธุรกรรมการเงิน ด้วยการเปิดหน้าต่างล็อคอินปลอม ให้ผู้ใช้กรอกข้อมูลสำคัญอย่าง ข้อมูลบัตรเครดิต/เดบิต หรือรหัสผ่านบัญชีลงไป

วิธีการถอนแอปฯออกจากอุปกรณ์

ถ้าคุณเคยดาวน์โหลดแอปพลิเคชั่นเหล่านี้ลงบนสมาร์ทโฟนหรือแท็บเล็ตของคุณ การที่จะถอนการติดตั้งแอปพลิเคชั่นนี้ได้ต้องทำทั้งหมด 3 ขั้นตอน 1. ยกเลิกการใช้งานสิทธิ Admin 2. ถอนการติดตั้งแอปพลิเคชั่นที่แอบแฝงเข้ามา 3. ถอนการติดตั้งแอปพลิเคชั่นปลอมที่ติดตั้งล่าสุด

  1. การยกเลิกการใช้งานสิทธิ Admin สามารถทำได้โดยไปที่ Settings > (General) > Security > Device administrators และหาชื่อแอปฯอย่าง Adobe Flash Player, Adobe Update หรือ Android Update
  2. การถอนการติดตั้งแอปพลิเคชั่นแอบแฝงสามารถทำได้โดยไปที่ Settings > (General) > Application manager/Apps และหาแอปฯอย่าง Adobe Flash Player, Adobe Update หรือ Android Update และสั่ง Uninstall
  3. การถอนการติดตั้งแอปพลิเคชั่นปลอมที่ติดตั้งล่าสุดสามารถทำได้โดยการไปที่ Play Store และไปที่ Settings > (General) > Application manager/Apps และหาชื่อแอปฯดังต่อไปนี้ MEX Tools, Clear Android, Cleaner for Android, World News, WORLD NEWS, World News PRO, Игровые Автоматы Слоты Онлайн or Слоты Онлайн Клуб Игровые Автоматы หากพบให้ถอนการติดตั้งให้หมด

Author: Lukas Stefanko
Source:
https://www.welivesecurity.com/2017/11/15/multi-stage-malware-sneaks-google-play/
Translated by: Worapon H.

%d bloggers like this: