Android Cybersecurity

มัลแวร์คลิปเปอร์ตัวแรกบน Google Play Store

Clipper โปรแกรมอันตรายเปลี่ยนปลายทางกระเป๋าเงิน Wallet ของสกุลเงินออนไลน์อย่าง Ethereum และ Bitcoin

by Worapon H.

กระบวนการขโมยเงินสกุลออนไลน์ด้วยการเปลี่ยน Wallet ปลายทาง ไม่ได้หยุดอยู่แค่ Windows หรือ App Store เถื่อนอีกต่อไป

ด้วยเหตุผลด้านความปลอดภัย Wallet ของสกุลเงินออนไลน์จะเป็นตัวอักษรจำนวนมาก ซึ่งทำให้ผู้ใช้ไม่พิมพ์และใช้วิธีคัดลอกและวางผ่าน Clipboard นี่เป็นจุดกำเนิดของโปรแกรมที่มีจุดประสงค์ร้ายหรือมัลแวร์ “คลิปเปอร์” เข้ามาใช้ประโยชน์จากตรงนี้ “คลิปเปอร์” จะลักลอบเอาข้อมูลที่แฮกเกอร์ต้องการมาทับใน Clipboard เพื่อเปลี่ยนปลายทางในขณะที่มีการโอนหรือซื้อขายกัน

คลิปเปอร์ปรากฏตัวครั้งแรกในปี 2017 บน Windows และใน Web Store เถื่อนของแอนดรอยด์เมื่อปี 2018 และล่าสุด บนสโตร์ของ Google Play เมื่อเดือนกุมภาพันธ์ 2019

นักวิจัยความปลอดภัยของ ESET พบว่ามัลแวร์คลิปเปอร์ของแอนดรอยด์มีการซื้อขายกันอยู่ในฟอรั่มใต้ดิน และ App Store เถื่อนทั้งหลาย

Copy & Steal

มัลแวร์คลิปเปอร์ที่เราพบใน Google Play Store โปรแกรมของ ESET สามารถตรวจจับได้ในชื่อ Android/Clipper.C โดยมัลแวร์ตัวนี้แฝงตัวมาให้อยู่ในโปรแกรม MetaMask โดยมีจุดประสงค์เพื่อขโมยข้อมูลชื่อผู้ใช้และรหัสผ่านของบริการสกุลเงินออนไลน์ Ethereum แต่เท่าที่ตรวจสอบ Bitcoin ก็สามารถทำได้เช่นกัน

ทางเราได้แจ้งไปทาง Google Play Store และพวกเขาดำเนินการถอนแอปพลิเคชั่น MetaMask แล้วเป็นที่เรียบร้อย

เคล็ดลับความปลอดภัย

  • หมั่นอัพเดตอุปกรณ์แอนดรอยด์และติดตั้งโปรแกรมรักษาความปลอดภัย
  • ดาวน์โหลดแอปพลิเคชั่นจากแหล่งที่น่าเชื่อถือเท่านั้น
  • ถ้าเป็นไปได้ให้ตรวจสอบลิงก์ที่จากเว็บไซต์ของผู้ผลิตแอปพลิเคชั่นว่าตรงกับที่อยู่ใน App Store หรือไม่
  • หากจำเป็นต้องใช้ข้อมูลใน Clipboard ให้เปรียบเทียบข้อมูลทีคัดลอกไปและข้อมูลที่นำไปวาง

Indicators of Compromise (IoCs)

Package Name Hash
com.lemon.metamask 24D7783AAF34884677A601D487473F88

BTC address: 17M66AG2uQ5YZLFEMKGpzbzh4F1EsFWkmA

ETH address: 0xfbbb2EF692B5101f16d3632f836461904C761965

Author: Lukas Stefanko
Source: https://www.welivesecurity.com/2019/02/08/first-clipper-malware-google-play/
Translated by: Worapon H.

%d bloggers like this: