Android Cybersecurity

มัลแวร์คลิปเปอร์ตัวแรกบน Google Play Store

Clipper โปรแกรมอันตรายเปลี่ยนปลายทางกระเป๋าเงิน Wallet ของสกุลเงินออนไลน์อย่าง Ethereum และ Bitcoin

กระบวนการขโมยเงินสกุลออนไลน์ด้วยการเปลี่ยน Wallet ปลายทาง ไม่ได้หยุดอยู่แค่ Windows หรือ App Store เถื่อนอีกต่อไป

ด้วยเหตุผลด้านความปลอดภัย Wallet ของสกุลเงินออนไลน์จะเป็นตัวอักษรจำนวนมาก ซึ่งทำให้ผู้ใช้ไม่พิมพ์และใช้วิธีคัดลอกและวางผ่าน Clipboard นี่เป็นจุดกำเนิดของโปรแกรมที่มีจุดประสงค์ร้ายหรือมัลแวร์ “คลิปเปอร์” เข้ามาใช้ประโยชน์จากตรงนี้ “คลิปเปอร์” จะลักลอบเอาข้อมูลที่แฮกเกอร์ต้องการมาทับใน Clipboard เพื่อเปลี่ยนปลายทางในขณะที่มีการโอนหรือซื้อขายกัน

คลิปเปอร์ปรากฏตัวครั้งแรกในปี 2017 บน Windows และใน Web Store เถื่อนของแอนดรอยด์เมื่อปี 2018 และล่าสุด บนสโตร์ของ Google Play เมื่อเดือนกุมภาพันธ์ 2019

นักวิจัยความปลอดภัยของ ESET พบว่ามัลแวร์คลิปเปอร์ของแอนดรอยด์มีการซื้อขายกันอยู่ในฟอรั่มใต้ดิน และ App Store เถื่อนทั้งหลาย

Copy & Steal

มัลแวร์คลิปเปอร์ที่เราพบใน Google Play Store โปรแกรมของ ESET สามารถตรวจจับได้ในชื่อ Android/Clipper.C โดยมัลแวร์ตัวนี้แฝงตัวมาให้อยู่ในโปรแกรม MetaMask โดยมีจุดประสงค์เพื่อขโมยข้อมูลชื่อผู้ใช้และรหัสผ่านของบริการสกุลเงินออนไลน์ Ethereum แต่เท่าที่ตรวจสอบ Bitcoin ก็สามารถทำได้เช่นกัน

ทางเราได้แจ้งไปทาง Google Play Store และพวกเขาดำเนินการถอนแอปพลิเคชั่น MetaMask แล้วเป็นที่เรียบร้อย

เคล็ดลับความปลอดภัย

  • หมั่นอัพเดตอุปกรณ์แอนดรอยด์และติดตั้งโปรแกรมรักษาความปลอดภัย
  • ดาวน์โหลดแอปพลิเคชั่นจากแหล่งที่น่าเชื่อถือเท่านั้น
  • ถ้าเป็นไปได้ให้ตรวจสอบลิงก์ที่จากเว็บไซต์ของผู้ผลิตแอปพลิเคชั่นว่าตรงกับที่อยู่ใน App Store หรือไม่
  • หากจำเป็นต้องใช้ข้อมูลใน Clipboard ให้เปรียบเทียบข้อมูลทีคัดลอกไปและข้อมูลที่นำไปวาง

Indicators of Compromise (IoCs)

Package Name Hash
com.lemon.metamask 24D7783AAF34884677A601D487473F88

BTC address: 17M66AG2uQ5YZLFEMKGpzbzh4F1EsFWkmA

ETH address: 0xfbbb2EF692B5101f16d3632f836461904C761965

Author: Lukas Stefanko
Source:
https://www.welivesecurity.com/2019/02/08/first-clipper-malware-google-play/
Translated by: Worapon H.

%d bloggers like this: