อีกครั้งที่แอปลพิเคชั่นอันตรายได้แทรกซึมเข้าไปใน Google Play Store โดยระบบความปลอดภัย ESET ตรวจจับได้ในชื่อ Android/TrojanDropper.Agent.BKY แอปพลิเคชั่นเหล่านี้มีหน้าตาเหมือนกับแอปพลิเคชั่นจริง และถูกตั้งเวลาให้เริ่มกิจกรรมอันตราย เรียกว่า Multi-stage Android Malware
พวกเราพบ 8 แอปพลิเคชั่นบน Google Play และแจ้งให้ทาง Google ทราบและถอนแอปพลิเคชั่นเหล่านี้จาก Google Play Store
แอปพลิเคชั่นเหล่านี้ถูกดาวน์โหลดไปเพียงไม่กี่ร้อยครั้งเท่านั้น แต่ความสามารถของมันที่น่าสนใจ และมีความเป็นไปได้ที่จะถูกนำไปต่อยอดในอนาคต
Anti-detection features
แอปพลิเคชั่นเหล่านี้มีโครงสร้างที่ซับซ้อน และการเข้ารหัส เพื่อป้องกันการตรวจสอบ
หลังจากที่ดาวน์โหลดและติดตั้งแอปพลิเคชั่นเหล่านี้ ตัวแอปพลิเคชั่นจะไม่ขออนุญาตใดๆที่ทำให้ผิดสังเกต และยังคัดลอกความสามารถของแอปพลิเคชั่นต้นฉบับ
แต่หลังจากนั้นแอปฯอันตรายที่ซ่อนอยู่จะถูกถอดรหัสและเริ่มทำงานตัว Payload (ขั้นตอนแรก) และจะทำการถอดรหัสและเริ่มทำงาน Payload (ขั้นตอนที่สอง) โดยกระบวนการทั้งหมดนี้เกิดขึ้น โดยที่ผู้ใช้ไม่รู้ตัว
ใน Payload ของขั้นตอนที่สองจะมีโค้ดที่จะดาวน์โหลดแอปพลิเคชั่น Adobe Flash Player ปลอม พร้อมขออนุญาตการใช้งาน
ในกรณีที่เราวิเคราะห์ แอปพลิเคชั่นอันตรายนี้เป็นตัวขโมยข้อมูลธุรกรรมการเงิน ด้วยการเปิดหน้าต่างล็อคอินปลอม ให้ผู้ใช้กรอกข้อมูลสำคัญอย่าง ข้อมูลบัตรเครดิต/เดบิต หรือรหัสผ่านบัญชีลงไป
วิธีการถอนแอปฯออกจากอุปกรณ์
ถ้าคุณเคยดาวน์โหลดแอปพลิเคชั่นเหล่านี้ลงบนสมาร์ทโฟนหรือแท็บเล็ตของคุณ การที่จะถอนการติดตั้งแอปพลิเคชั่นนี้ได้ต้องทำทั้งหมด 3 ขั้นตอน 1. ยกเลิกการใช้งานสิทธิ Admin 2. ถอนการติดตั้งแอปพลิเคชั่นที่แอบแฝงเข้ามา 3. ถอนการติดตั้งแอปพลิเคชั่นปลอมที่ติดตั้งล่าสุด
- การยกเลิกการใช้งานสิทธิ Admin สามารถทำได้โดยไปที่ Settings > (General) > Security > Device administrators และหาชื่อแอปฯอย่าง Adobe Flash Player, Adobe Update หรือ Android Update
- การถอนการติดตั้งแอปพลิเคชั่นแอบแฝงสามารถทำได้โดยไปที่ Settings > (General) > Application manager/Apps และหาแอปฯอย่าง Adobe Flash Player, Adobe Update หรือ Android Update และสั่ง Uninstall
- การถอนการติดตั้งแอปพลิเคชั่นปลอมที่ติดตั้งล่าสุดสามารถทำได้โดยการไปที่ Play Store และไปที่ Settings > (General) > Application manager/Apps และหาชื่อแอปฯดังต่อไปนี้ MEX Tools, Clear Android, Cleaner for Android, World News, WORLD NEWS, World News PRO, Игровые Автоматы Слоты Онлайн or Слоты Онлайн Клуб Игровые Автоматы หากพบให้ถอนการติดตั้งให้หมด
Author: Lukas Stefanko
Source: https://www.welivesecurity.com/2017/11/15/multi-stage-malware-sneaks-google-play/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
อีกครั้งที่แอปลพิเคชั่นอันตรายได้แทรกซึมเข้าไปใน Google Play Store โดยระบบความปลอดภัย ESET ตรวจจับได้ในชื่อ Android/TrojanDropper.Agent.BKY แอปพลิเคชั่นเหล่านี้มีหน้าตาเหมือนกับแอปพลิเคชั่นจริง และถูกตั้งเวลาให้เริ่มกิจกรรมอันตราย เรียกว่า Multi-stage Android Malware
พวกเราพบ 8 แอปพลิเคชั่นบน Google Play และแจ้งให้ทาง Google ทราบและถอนแอปพลิเคชั่นเหล่านี้จาก Google Play Store
แอปพลิเคชั่นเหล่านี้ถูกดาวน์โหลดไปเพียงไม่กี่ร้อยครั้งเท่านั้น แต่ความสามารถของมันที่น่าสนใจ และมีความเป็นไปได้ที่จะถูกนำไปต่อยอดในอนาคต
Anti-detection features
แอปพลิเคชั่นเหล่านี้มีโครงสร้างที่ซับซ้อน และการเข้ารหัส เพื่อป้องกันการตรวจสอบ
หลังจากที่ดาวน์โหลดและติดตั้งแอปพลิเคชั่นเหล่านี้ ตัวแอปพลิเคชั่นจะไม่ขออนุญาตใดๆที่ทำให้ผิดสังเกต และยังคัดลอกความสามารถของแอปพลิเคชั่นต้นฉบับ
แต่หลังจากนั้นแอปฯอันตรายที่ซ่อนอยู่จะถูกถอดรหัสและเริ่มทำงานตัว Payload (ขั้นตอนแรก) และจะทำการถอดรหัสและเริ่มทำงาน Payload (ขั้นตอนที่สอง) โดยกระบวนการทั้งหมดนี้เกิดขึ้น โดยที่ผู้ใช้ไม่รู้ตัว
ใน Payload ของขั้นตอนที่สองจะมีโค้ดที่จะดาวน์โหลดแอปพลิเคชั่น Adobe Flash Player ปลอม พร้อมขออนุญาตการใช้งาน
ในกรณีที่เราวิเคราะห์ แอปพลิเคชั่นอันตรายนี้เป็นตัวขโมยข้อมูลธุรกรรมการเงิน ด้วยการเปิดหน้าต่างล็อคอินปลอม ให้ผู้ใช้กรอกข้อมูลสำคัญอย่าง ข้อมูลบัตรเครดิต/เดบิต หรือรหัสผ่านบัญชีลงไป
วิธีการถอนแอปฯออกจากอุปกรณ์
ถ้าคุณเคยดาวน์โหลดแอปพลิเคชั่นเหล่านี้ลงบนสมาร์ทโฟนหรือแท็บเล็ตของคุณ การที่จะถอนการติดตั้งแอปพลิเคชั่นนี้ได้ต้องทำทั้งหมด 3 ขั้นตอน 1. ยกเลิกการใช้งานสิทธิ Admin 2. ถอนการติดตั้งแอปพลิเคชั่นที่แอบแฝงเข้ามา 3. ถอนการติดตั้งแอปพลิเคชั่นปลอมที่ติดตั้งล่าสุด
Author: Lukas Stefanko
Source: https://www.welivesecurity.com/2017/11/15/multi-stage-malware-sneaks-google-play/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: