Android Malware

มัลแวร์ธุรกรรมบน Google Play มีเป้าหมายเป็นธนาคารของชาวโปแลนด์

มัลแวร์ธุรกรรมการเงินผ่านระบบรักษาความปลอดภัยของ Google Play

มัลแวร์ธุรกรรมการเงินอีกชุดหนึ่งที่ทะลุผ่านกระบวนการรักษาความปลอดภัยของ Google Play มาได้ ด้วยการแปลงร่างเป็นแอปพลิเคชั่นติดตามราคาสกุลเงินออนไลน์ “Crypto Monitor” และ “StorySaver” เครื่องมือสำหรับดาวน์โหลด Story จาก Instagram

นอกจากที่แอปพลิเคชั่นปลอมนี้จะสามารถทำงานได้เหมือนกับแอปพลิเคชั่นจริง แอปพลิเคชั่นปลอมนี้จะแสดงการแจ้งเตือนและหน้าล็อคอินจากแอปพลิเคชั่นธนาคาร เพื่อเก็บข้อมูลล็อคอิน มากไปกว่านั้นยังสามารถดักรหัส OTP จาก SMS ได้ด้วย

แอปพลิเคชั่นอันตราย

“Crypto Monitor” เข้าไปอยู่ใน Google Store เมื่อวันที่ 25 พฤศจิกายน 2017 ภายใต้ชื่อผู้พัฒนา walltestudio และอีกแอปพลิเคชั่น “StorySaver” ภายใต้ชื่อผู้พัฒนา kirillsamsonoc45 ปรากฏบน Google Play เมื่อวันที่ 29 พฤศจิกายน 2017

ทั้งสองแอปพลิเคชั่นได้ยอดดาวน์โหลดไปประมาณ 1,000 และ 5,000 ครั้ง ณ เวลาที่รายงานกับ Google (วันที่ 4 ธันวาคม 2017) ก่อนถูกถอนออกภายในเวลาต่อมา

Figure1-2

หลังจากที่ผู้ใช้ติดตั้งและเปิดแอปพลิเคชั่น แอปฯจะเปรียบเทียบรายชื่อแอปพลิเคชั่นธนาคาร ซึ่งแอปพลิเคชั่นนี้มีเป้าหมายเป็นธนาคารของโปแลนด์ 14 แห่ง

ในกรณีที่พบ 1 ใน 14 แอปพลิเคชั่น มัลแวร์จะแจ้งเตือนให้ล็อคอินแอปพลิเคชั่นที่พบ หรือให้ผู้ใช้คลิกการแจ้งเตือนแอปพลิเคชั่นเหมือนที่แอปพลิเคชั่นจริงทำ

Figure2-1

Figure3-383x1024

โปรแกรมของ ESET สามารถยับยั้งการติดตั้งและตรวจจับได้ในชื่อ Android/Spy.Banker.QL

จากแผนที่การตรวจจับของเราพบว่า 96% จากประเทศโปแลนด์ และ 4% จากออสเตรเลีย

วิธีการป้องกันตัว

ข่าวดีก็คือมัลแวร์ตัวนี้ไม่ได้มีกลไกขัดขวางการถอนแอปพลิเคชั่น เพราะฉะนั้นการถอนแอปพลิเคชั่นจึงสามารถทำได้เพียงไปที่ Settings -> (General) -> Application manager/Apps และหาชื่อ “StorySaver” หรือ “Crypto Monitor” และถอนแอปพลิเคชั่นออก

แต่ข่าวร้ายก็คือหากคุณมี 1 ใน 14 แอปพลิเคชั่นนี้แฮกเกอร์อาจเข้าถึงบัญชีของคุณไปแล้ว คุณจึงจำเป็นต้องตรวจสอบรายการด้วยตัวคุณเอง

Author: Lukas Stefanko
Source:
https://www.welivesecurity.com/2017/12/11/banking-malware-targets-polish-banks/
Translated by: Worapon H.

%d bloggers like this: