Google ลบมัลแวร์ที่เป็นอันตรายต่อธนาคารออกจาก Play Store
2022.06.14
Google ลบมัลแวร์ที่เป็นอันตรายต่อธนาคารออกจาก Play Store
โทรจัน Android Banking ที่เป็นอันตรายซึ่งเรียกว่า SharkBot ปรากฏขึ้นครั้งแรกเมื่อเดือนตุลาคมปีที่แล้ว และยังคงแพร่กระจายอยู่ ตัวอย่างล่าสุดของการคงอยู่ของตัวคุกคามในการพยายามเผยแพร่มัลแวร์บนมือถือผ่านร้านแอปมือถือ Trusted Google Play
ผู้ค้นพบมัลแวร์อธิบายว่าเป็น “รุ่นต่อไป” อุปกรณ์ Android ที่ถูกบุกรุกเพื่อโอนเงินออกจากบัญชีธนาคารอย่างลับๆ เมื่อเหยื่อลงชื่อเข้าใช้ โดยไม่ผ่านการควบคุมการตรวจสอบสิทธิ์แบบหลายปัจจัยในกระบวนการ SharkBot สามารถขโมยข้อมูลประจำตัวและข้อมูลบัตรเครดิตและบรรจุคุณลักษณะหลายอย่างที่ออกแบบมาเพื่อทำให้การตรวจจับซับซ้อนหรือช้าลง
ในช่วงเดือนที่ผ่านมา นักวิจัยจาก Check Point Research ระบุอย่างน้อยหกแอปพลิเคชันที่แตกต่างกันบน Google Play ที่ปลอมแปลงเป็นซอฟต์แวร์ป้องกันไวรัสที่ถูกต้อง แต่กลับถูกใช้เพื่อวาง SharkBot บนอุปกรณ์ของผู้ที่ดาวน์โหลดแอป แอปทั้งหกถูกอัปโหลดจากบัญชีนักพัฒนาซอฟต์แวร์สามบัญชีแยกกัน และดาวน์โหลดมากกว่า 15,000 ครั้งในระยะเวลาอันสั้นที่มีให้ใน Google Play
Check Point ค้นพบแอปพลิเคชันสี่ตัวที่แจกจ่าย SharkBot เมื่อวันที่ 23 กุมภาพันธ์ พ.ศ. 2565 และรายงานไปยัง Google เมื่อวันที่ 3 มีนาคม ซึ่งเป็นวันเดียวกับที่ NCC Group ซึ่งเป็นผู้ให้บริการด้านความปลอดภัยรายอื่นรายงานว่าพบภัยคุกคามแบบเดียวกันในร้านแอปบนอุปกรณ์เคลื่อนที่อย่างเป็นทางการของ Google ด้วยเช่นกัน Google ลบแอพปลอมออกจาก Google Play ประมาณหนึ่งสัปดาห์ต่อมา แต่ไม่ถึงหนึ่งสัปดาห์ต่อมา — และอีกครั้งหนึ่งสัปดาห์หลังจากนั้น — Check Point ค้นพบแอพอีกสองแอพที่มีมัลแวร์ใน Google Play ในทั้งสองกรณี ทีมรักษาความปลอดภัยของ Google ได้ดำเนินการอย่างรวดเร็วเพื่อกำจัดภัยคุกคามก่อนที่ผู้ใช้จะดาวน์โหลด
โฆษกของ Google ยืนยันว่าบริษัทได้ลบร่องรอยของมัลแวร์ทั้งหมดออกจาก Play แล้ว ในบล็อกของสัปดาห์นี้ Check Point ได้เน้นย้ำถึงคุณลักษณะหลายอย่างใน SharkBot ซึ่งอธิบายได้ถึงขอบเขตที่หลายครั้งที่ผู้เขียนมัลแวร์สามารถข้ามการป้องกันของ Google เพื่ออัปโหลดไปยัง Play App Store เคล็ดลับของ SharkBot รวมถึงการหน่วงเวลา ความสามารถในการตรวจจับว่าทำงานอยู่ในแซนด์บ็อกซ์หรือไม่ และรักษาฟังก์ชันที่เป็นอันตรายส่วนใหญ่ไว้ในโมดูลที่ดาวน์โหลดจากเซิร์ฟเวอร์คำสั่งและควบคุมภายนอกหลังจากกระบวนการตรวจสอบแอปของ Play เสร็จสิ้น
แง่มุมหนึ่งของ SharkBot ที่ Check Point กล่าวว่าแทบไม่พบเห็นในมัลแวร์ Android คือการใช้ Domain Generation Algorithm (DGA) เพื่อสลับโดเมน C2 ต่อไป ดังนั้นการบล็อกภัยคุกคามจึงยากขึ้น สิ่งที่น่าสังเกตอีกอย่างคือความสามารถในการระบุตำแหน่งทางภูมิศาสตร์ใน SharkBot ที่ทำให้แน่ใจว่ามัลแวร์จะไม่ทำงานบนอุปกรณ์ Android ที่ตั้งอยู่ในจีน รัสเซีย ยูเครน อินเดีย เบลารุส และโรมาเนีย
“DGA เป็นอัลกอริธึมที่ไคลเอนต์ที่ประสงค์ร้ายและผู้กระทำผิดสามารถเปลี่ยนแปลงเซิร์ฟเวอร์ C2 ได้พร้อมกัน โดยไม่ต้องมีการสื่อสารใดๆ” Alexander Chailytko ผู้จัดการฝ่ายวิจัยความปลอดภัยทางไซเบอร์และนวัตกรรมของ Check Point Software กล่าว ด้วย DGA Sharkbot สามารถสร้างโดเมนได้ 35 โดเมนต่อสัปดาห์ ซึ่งทำให้กระบวนการบล็อกเซิร์ฟเวอร์ของผู้ให้บริการมัลแวร์ซับซ้อนขึ้น
ความจริงที่ว่าการกระทำที่เป็นอันตรายทั้งหมดของ SharkBot นั้นถูกเรียกจากเซิร์ฟเวอร์คำสั่งและการควบคุมก็หมายความว่าแอพที่เป็นอันตรายสามารถอยู่ในสถานะ “ปิด” ในระหว่างระยะเวลาทดสอบใน Google Play และเปิด “เปิด” เมื่อไปถึง อุปกรณ์ของผู้ใช้ Chalytko กล่าว
ฟังก์ชั่นที่ซับซ้อน
ทั้ง Cleafy ซึ่งเป็นคนแรกที่ค้นพบมัลแวร์และกลุ่ม NCC ในรายงานเมื่อเดือนที่แล้วระบุว่า SharkBot ใช้เทคนิคที่เรียกว่า Automatic Transfer Systems (ATS) เพื่อเริ่มการโอนเงินจากบัญชีธนาคารของเจ้าของอุปกรณ์ Android ที่ติด SharkBot เทคนิคนี้โดยทั่วไปเกี่ยวข้องกับฟิลด์และรูปแบบการป้อนอัตโนมัติของมัลแวร์ที่ธนาคารมักต้องการเพื่อเริ่มต้นการโอนเงิน เมื่อเหยื่อใช้อุปกรณ์ที่ถูกบุกรุกเพื่อเข้าสู่บัญชีธนาคารของพวกเขา การโจรกรรมดังกล่าวอาจตรวจพบได้ยาก เนื่องจากสามารถข้ามการตรวจสอบแบบหลายปัจจัยและดำเนินการโดยผู้ใช้ที่เชื่อถือได้ซึ่งมีอุปกรณ์ที่ลงทะเบียนไว้ก่อนหน้านี้ Cleafy กล่าว
Chris Clements รองประธานฝ่ายสถาปัตยกรรมโซลูชันของ Cerberus Sentinel กล่าวว่าแอปมัลแวร์ที่ใช้การหน่วงเวลา เทคนิคการทำให้สับสนของโค้ด และการระบุตำแหน่งทางภูมิศาสตร์อาจตรวจพบได้ยาก อย่างไรก็ตาม ความสม่ำเสมอของการค้นพบพวกเขาในร้านค้าแอปอย่างเป็นทางการของ Google และ Apple ทำลายความไว้วางใจของผู้ใช้ในความปลอดภัยของแอปทั้งหมดบนแพลตฟอร์มเหล่านี้ โดยเฉพาะอย่างยิ่งเนื่องจากผู้ขายทั้งสองกล่าวว่าร้านแอปของตนปลอดภัย Clements กล่าวว่า “มันเป็น ปัญหาใหญ่ส่วนหนึ่งเป็นเพราะความสำเร็จในการประนีประนอมอุปกรณ์มือถือที่เป็นศูนย์กลางของชีวิตดิจิทัลของบุคคลทำให้ผู้โจมตีเข้าถึงได้ในวงกว้างเพื่อสร้างความเสียหายที่สำคัญ”
เขาสนับสนุนให้ผู้ใช้อุปกรณ์เคลื่อนที่ให้ความสำคัญกับการอนุญาตที่พวกเขามอบให้กับแอปที่ดาวน์โหลด โดยเฉพาะแอปที่ต้องการเข้าถึง “บริการการเข้าถึง” บน Android เพื่อช่วยเหลือผู้ใช้ที่มีความพิการ
https://www.darkreading.com/endpoint/google-removes-dangerous-banking-malware-from-play-store
บทความที่เกี่ยวข้อง
กฎหมาย
กรณีศึกษา
ข่าว
Google เตรียมลบบันทึกการท่องเว็บนับพันล้านรายการ ตามข้อตกลงยุติคดีความเป็นส่วนตัว ‘โหมดไม่ระบุตัวตน’
Google ได้ตกลงที่จะล้างบันทึกข้อมูลนับพันล้านรายการ ที่แสดงกิจกรรมการท่องเว็บไซต์ของผู้ใช้งาน เพื่อยุติคดีที่ถูกฟ้องร้องว่า Google ได้ทำการติดตามกิจกรรมของพวกเขา
2024.04.23
กรณีศึกษา
ข่าว
ความปลอดภัย
Top 10 Brands ที่ถูกแอบอ้างมากที่สุด เพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024
โดยรายชื่อแบรนด์ 10 อันดับแรก ที่ถูกแอบอ้างเพื่อใช้ในการหลอกลวงแบบฟิชชิ่ง ในไตรมาสที่ 1 ของปี 2024 ได้แก่
2024.04.18
ข่าว
ความปลอดภัย
ข้อควรพิจารณาสำหรับความปลอดภัยทางไซเบอร์ของปฏิบัติการเทคโนโลยี
เทคโนโลยีการดำเนินงาน (OT) หมายถึงฮาร์ดแวร์และซอฟต์แวร์ที่ใช้ในการเปลี่ยนแปลง ตรวจสอบ หรือควบคุมอุปกรณ์ กระบวนการ และเหตุการณ์ทางกายภาพขององค์กร ต่างจากระบบเทคโนโลยีสารสนเทศ (IT) แบบดั้งเดิม ระบบ OT ส่งผลโดยตรงต่อโลกทางกายภาพ คุณลักษณะเฉพาะของ OT นี้นำมาซึ่งข้อควรพิจารณาด้านความปลอดภัยทางไซเบอร์เพิ่มเติมซึ่งปกติแล้วจะไม่มีอยู่ในสถาปัตยกรรมความปลอดภัยด้านไอทีทั่วไป การบรรจบกันของ IT และ OT ในอดีต ไอทีและเทคโนโลยีการดำเนินงาน (OT) ดำเนินการแยกจากกัน โดยแต่ละแห่งมีชุดโปรโตคอล มาตรฐาน และมาตรการรักษาความปลอดภัยทางไซเบอร์ของตัวเอง อย่างไรก็ตาม โดเมนทั้งสองนี้มาบรรจบกันมากขึ้นกับการกำเนิดของ Industrial Internet of Things (IIoT) แม้ว่าประโยชน์ในแง่ของประสิทธิภาพที่เพิ่มขึ้นและการตัดสินใจที่ขับเคลื่อนด้วยข้อมูล การบรรจบกันนี้ยังทำให้ระบบ OT เผชิญกับภัยคุกคามทางไซเบอร์แบบเดียวกับที่ระบบไอทีเผชิญ
2024.04.05