Android Cybersecurity Malware

Spyware สายพันธุ์ใหม่แทรกซึมเข้า Google Play

ESET วิเคราะห์สปายแวร์ที่ทำมาจากเครื่องมือ Open-source ที่ชื่อว่า AhMyth หลังแทรกซึมเข้า Google Play

ESET วิเคราะห์สปายแวร์ที่ทำมาจากเครื่องมือ Open-source ที่ชื่อว่า AhMyth หลังแทรกซึมเข้า Google Play

แอปพลิเคชั่นอันตราย Radio Balouch หรือ RB Music เดิมทีเป็นแอปพลิเคชั่นวิทยุสำหรับผู้ติดตามเพลงของ Balouchi แต่มีการขโมยข้อมูลผู้ใช้ ก่อนที่จะโดนแจ้งให้นำแอปพลิเคชั่นออกจาก Google Play

AhMyth เป็นเครื่องมือสำหรับใช้งานรีโมต (Remote Access Tool) ที่เป็น Open-source หรือเปิดให้นักพัฒนานำไปใช้งานหรือพัฒนาต่อ ซึ่งแอปพลิเคชั่น Radio Balouch ก็ใช้ฟังก์ชั่นนี้ครั้งแรกเมื่อปี 2017 แต่เพิ่งเข้ามาอยู่ใน Google Play ครั้งแรก

โปรแกรมรักษาความปลอดภัยของ ESET สามารถปกป้องผู้ใช้จาก AhMyth ได้ตั้งแต่พบครั้งแรก เพราะฟังก์ชั่นอันตรายของ AhMyth มีความชัดเจน ทำให้สามารถตรวจจับได้ง่าย

นอกจาก Google Play แล้ว ESET ยังตรวจจับมัลแวร์อื่นๆใน App Store อื่นๆได้ในชื่อ Android/Spy.Agent.AOX และพบการโปรโมตผ่าน Instagram และ Youtube

เราพบแอปพลิเคชั่น RB Music ใน Google Play 2 ครั้ง เมื่อ 2 กรกฎาคม 2019 และ 13 กรกฎาคม 2019 แล้วถูกนำออกจาก Google Play อย่างรวดเร็ว

หลังจากถูกนำออกจาก Google Play แอปพลิเคชั่นไปโผล่ตาม App Store รายอื่นๆ รวมถึงเว็บไซต์ radiobalouch[.]com พร้อมโปรโมตบน Instagram และ Youtube

ฟังก์ชั่น

เมื่อติดตั้ง การทำงานวิทยุก็ทำงานได้ตามปกติ เล่นเพลงของ Balouchi แต่แอปพลิเคชั่นจะเอารายชื่อติดต่อ ไฟล์ และข้อความส่งไปหาแฮกเกอร์

เห็นได้จากการขออนุญาตเข้าถึงรายชื่อติดต่อ และรูปภาพ รวมถึงสื่อต่างๆภายในอุปกรณ์

การเข้าสู่ Google Play ถึงสองครั้งเป็นการเตือนฝ่ายความปลอดภัยของ Google และผู้ใช้ Android ให้ระมัดระวังการดาวน์โหลดแอปพลิเคชั่น จาก Google Play และที่อื่นๆ

Author: Lukas Stefanko
Source:
https://www.welivesecurity.com/2019/08/22/first-spyware-android-ahmyth-google-play/
Translated by: Worapon H.

%d bloggers like this: