คลิปเปอร์ปรากฏตัวครั้งแรกในปี 2017 บน Windows และใน Web Store เถื่อนของแอนดรอยด์เมื่อปี 2018 และล่าสุด บนสโตร์ของ Google Play เมื่อเดือนกุมภาพันธ์ 2019
นักวิจัยความปลอดภัยของ ESET พบว่ามัลแวร์คลิปเปอร์ของแอนดรอยด์มีการซื้อขายกันอยู่ในฟอรั่มใต้ดิน และ App Store เถื่อนทั้งหลาย
Copy & Steal
มัลแวร์คลิปเปอร์ที่เราพบใน Google Play Store โปรแกรมของ ESET สามารถตรวจจับได้ในชื่อ Android/Clipper.C โดยมัลแวร์ตัวนี้แฝงตัวมาให้อยู่ในโปรแกรม MetaMask โดยมีจุดประสงค์เพื่อขโมยข้อมูลชื่อผู้ใช้และรหัสผ่านของบริการสกุลเงินออนไลน์ Ethereum แต่เท่าที่ตรวจสอบ Bitcoin ก็สามารถทำได้เช่นกัน
ทางเราได้แจ้งไปทาง Google Play Store และพวกเขาดำเนินการถอนแอปพลิเคชั่น MetaMask แล้วเป็นที่เรียบร้อย
กระบวนการขโมยเงินสกุลออนไลน์ด้วยการเปลี่ยน Wallet ปลายทาง ไม่ได้หยุดอยู่แค่ Windows หรือ App Store เถื่อนอีกต่อไป
ด้วยเหตุผลด้านความปลอดภัย Wallet ของสกุลเงินออนไลน์จะเป็นตัวอักษรจำนวนมาก ซึ่งทำให้ผู้ใช้ไม่พิมพ์และใช้วิธีคัดลอกและวางผ่าน Clipboard นี่เป็นจุดกำเนิดของโปรแกรมที่มีจุดประสงค์ร้ายหรือมัลแวร์ “คลิปเปอร์” เข้ามาใช้ประโยชน์จากตรงนี้ “คลิปเปอร์” จะลักลอบเอาข้อมูลที่แฮกเกอร์ต้องการมาทับใน Clipboard เพื่อเปลี่ยนปลายทางในขณะที่มีการโอนหรือซื้อขายกัน
คลิปเปอร์ปรากฏตัวครั้งแรกในปี 2017 บน Windows และใน Web Store เถื่อนของแอนดรอยด์เมื่อปี 2018 และล่าสุด บนสโตร์ของ Google Play เมื่อเดือนกุมภาพันธ์ 2019
นักวิจัยความปลอดภัยของ ESET พบว่ามัลแวร์คลิปเปอร์ของแอนดรอยด์มีการซื้อขายกันอยู่ในฟอรั่มใต้ดิน และ App Store เถื่อนทั้งหลาย
Copy & Steal
มัลแวร์คลิปเปอร์ที่เราพบใน Google Play Store โปรแกรมของ ESET สามารถตรวจจับได้ในชื่อ Android/Clipper.C โดยมัลแวร์ตัวนี้แฝงตัวมาให้อยู่ในโปรแกรม MetaMask โดยมีจุดประสงค์เพื่อขโมยข้อมูลชื่อผู้ใช้และรหัสผ่านของบริการสกุลเงินออนไลน์ Ethereum แต่เท่าที่ตรวจสอบ Bitcoin ก็สามารถทำได้เช่นกัน
ทางเราได้แจ้งไปทาง Google Play Store และพวกเขาดำเนินการถอนแอปพลิเคชั่น MetaMask แล้วเป็นที่เรียบร้อย
เคล็ดลับความปลอดภัย
Indicators of Compromise (IoCs)
BTC address: 17M66AG2uQ5YZLFEMKGpzbzh4F1EsFWkmA
ETH address: 0xfbbb2EF692B5101f16d3632f836461904C761965
Author: Lukas Stefanko
Source: https://www.welivesecurity.com/2019/02/08/first-clipper-malware-google-play/
Translated by: Worapon H.
Share this:
Like this: