ESET วิเคราะห์สปายแวร์ที่ทำมาจากเครื่องมือ Open-source ที่ชื่อว่า AhMyth หลังแทรกซึมเข้า Google Play
แอปพลิเคชั่นอันตราย Radio Balouch หรือ RB Music เดิมทีเป็นแอปพลิเคชั่นวิทยุสำหรับผู้ติดตามเพลงของ Balouchi แต่มีการขโมยข้อมูลผู้ใช้ ก่อนที่จะโดนแจ้งให้นำแอปพลิเคชั่นออกจาก Google Play
AhMyth เป็นเครื่องมือสำหรับใช้งานรีโมต (Remote Access Tool) ที่เป็น Open-source หรือเปิดให้นักพัฒนานำไปใช้งานหรือพัฒนาต่อ ซึ่งแอปพลิเคชั่น Radio Balouch ก็ใช้ฟังก์ชั่นนี้ครั้งแรกเมื่อปี 2017 แต่เพิ่งเข้ามาอยู่ใน Google Play ครั้งแรก
โปรแกรมรักษาความปลอดภัยของ ESET สามารถปกป้องผู้ใช้จาก AhMyth ได้ตั้งแต่พบครั้งแรก เพราะฟังก์ชั่นอันตรายของ AhMyth มีความชัดเจน ทำให้สามารถตรวจจับได้ง่าย
นอกจาก Google Play แล้ว ESET ยังตรวจจับมัลแวร์อื่นๆใน App Store อื่นๆได้ในชื่อ Android/Spy.Agent.AOX และพบการโปรโมตผ่าน Instagram และ Youtube
เราพบแอปพลิเคชั่น RB Music ใน Google Play 2 ครั้ง เมื่อ 2 กรกฎาคม 2019 และ 13 กรกฎาคม 2019 แล้วถูกนำออกจาก Google Play อย่างรวดเร็ว
หลังจากถูกนำออกจาก Google Play แอปพลิเคชั่นไปโผล่ตาม App Store รายอื่นๆ รวมถึงเว็บไซต์ radiobalouch[.]com พร้อมโปรโมตบน Instagram และ Youtube
การเข้าสู่ Google Play ถึงสองครั้งเป็นการเตือนฝ่ายความปลอดภัยของ Google และผู้ใช้ Android ให้ระมัดระวังการดาวน์โหลดแอปพลิเคชั่น จาก Google Play และที่อื่นๆ
WeLiveSecurity Thai Edition's 
ESET วิเคราะห์สปายแวร์ที่ทำมาจากเครื่องมือ Open-source ที่ชื่อว่า AhMyth หลังแทรกซึมเข้า Google Play
แอปพลิเคชั่นอันตราย Radio Balouch หรือ RB Music เดิมทีเป็นแอปพลิเคชั่นวิทยุสำหรับผู้ติดตามเพลงของ Balouchi แต่มีการขโมยข้อมูลผู้ใช้ ก่อนที่จะโดนแจ้งให้นำแอปพลิเคชั่นออกจาก Google Play
AhMyth เป็นเครื่องมือสำหรับใช้งานรีโมต (Remote Access Tool) ที่เป็น Open-source หรือเปิดให้นักพัฒนานำไปใช้งานหรือพัฒนาต่อ ซึ่งแอปพลิเคชั่น Radio Balouch ก็ใช้ฟังก์ชั่นนี้ครั้งแรกเมื่อปี 2017 แต่เพิ่งเข้ามาอยู่ใน Google Play ครั้งแรก
โปรแกรมรักษาความปลอดภัยของ ESET สามารถปกป้องผู้ใช้จาก AhMyth ได้ตั้งแต่พบครั้งแรก เพราะฟังก์ชั่นอันตรายของ AhMyth มีความชัดเจน ทำให้สามารถตรวจจับได้ง่าย
นอกจาก Google Play แล้ว ESET ยังตรวจจับมัลแวร์อื่นๆใน App Store อื่นๆได้ในชื่อ Android/Spy.Agent.AOX และพบการโปรโมตผ่าน Instagram และ Youtube
เราพบแอปพลิเคชั่น RB Music ใน Google Play 2 ครั้ง เมื่อ 2 กรกฎาคม 2019 และ 13 กรกฎาคม 2019 แล้วถูกนำออกจาก Google Play อย่างรวดเร็ว
หลังจากถูกนำออกจาก Google Play แอปพลิเคชั่นไปโผล่ตาม App Store รายอื่นๆ รวมถึงเว็บไซต์ radiobalouch[.]com พร้อมโปรโมตบน Instagram และ Youtube
ฟังก์ชั่น
เมื่อติดตั้ง การทำงานวิทยุก็ทำงานได้ตามปกติ เล่นเพลงของ Balouchi แต่แอปพลิเคชั่นจะเอารายชื่อติดต่อ ไฟล์ และข้อความส่งไปหาแฮกเกอร์
เห็นได้จากการขออนุญาตเข้าถึงรายชื่อติดต่อ และรูปภาพ รวมถึงสื่อต่างๆภายในอุปกรณ์
การเข้าสู่ Google Play ถึงสองครั้งเป็นการเตือนฝ่ายความปลอดภัยของ Google และผู้ใช้ Android ให้ระมัดระวังการดาวน์โหลดแอปพลิเคชั่น จาก Google Play และที่อื่นๆ
Author: Lukas Stefanko
Source: https://www.welivesecurity.com/2019/08/22/first-spyware-android-ahmyth-google-play/
Translated by: Worapon H.
Share this:
Like this: