Google ลบมัลแวร์ที่เป็นอันตรายต่อธนาคารออกจาก Play Store

โทรจัน Android Banking ที่เป็นอันตรายซึ่งเรียกว่า SharkBot ปรากฏขึ้นครั้งแรกเมื่อเดือนตุลาคมปีที่แล้ว และยังคงแพร่กระจายอยู่ ตัวอย่างล่าสุดของการคงอยู่ของตัวคุกคามในการพยายามเผยแพร่มัลแวร์บนมือถือผ่านร้านแอปมือถือ Trusted Google Play

ผู้ค้นพบมัลแวร์อธิบายว่าเป็น “รุ่นต่อไป” อุปกรณ์ Android ที่ถูกบุกรุกเพื่อโอนเงินออกจากบัญชีธนาคารอย่างลับๆ เมื่อเหยื่อลงชื่อเข้าใช้ โดยไม่ผ่านการควบคุมการตรวจสอบสิทธิ์แบบหลายปัจจัยในกระบวนการ SharkBot สามารถขโมยข้อมูลประจำตัวและข้อมูลบัตรเครดิตและบรรจุคุณลักษณะหลายอย่างที่ออกแบบมาเพื่อทำให้การตรวจจับซับซ้อนหรือช้าลง

ในช่วงเดือนที่ผ่านมา นักวิจัยจาก Check Point Research ระบุอย่างน้อยหกแอปพลิเคชันที่แตกต่างกันบน Google Play ที่ปลอมแปลงเป็นซอฟต์แวร์ป้องกันไวรัสที่ถูกต้อง แต่กลับถูกใช้เพื่อวาง SharkBot บนอุปกรณ์ของผู้ที่ดาวน์โหลดแอป แอปทั้งหกถูกอัปโหลดจากบัญชีนักพัฒนาซอฟต์แวร์สามบัญชีแยกกัน และดาวน์โหลดมากกว่า 15,000 ครั้งในระยะเวลาอันสั้นที่มีให้ใน Google Play

Check Point ค้นพบแอปพลิเคชันสี่ตัวที่แจกจ่าย SharkBot เมื่อวันที่ 23 กุมภาพันธ์ พ.ศ. 2565 และรายงานไปยัง Google เมื่อวันที่ 3 มีนาคม ซึ่งเป็นวันเดียวกับที่ NCC Group ซึ่งเป็นผู้ให้บริการด้านความปลอดภัยรายอื่นรายงานว่าพบภัยคุกคามแบบเดียวกันในร้านแอปบนอุปกรณ์เคลื่อนที่อย่างเป็นทางการของ Google ด้วยเช่นกัน Google ลบแอพปลอมออกจาก Google Play ประมาณหนึ่งสัปดาห์ต่อมา แต่ไม่ถึงหนึ่งสัปดาห์ต่อมา — และอีกครั้งหนึ่งสัปดาห์หลังจากนั้น — Check Point ค้นพบแอพอีกสองแอพที่มีมัลแวร์ใน Google Play ในทั้งสองกรณี ทีมรักษาความปลอดภัยของ Google ได้ดำเนินการอย่างรวดเร็วเพื่อกำจัดภัยคุกคามก่อนที่ผู้ใช้จะดาวน์โหลด

โฆษกของ Google ยืนยันว่าบริษัทได้ลบร่องรอยของมัลแวร์ทั้งหมดออกจาก Play แล้ว ในบล็อกของสัปดาห์นี้ Check Point ได้เน้นย้ำถึงคุณลักษณะหลายอย่างใน SharkBot ซึ่งอธิบายได้ถึงขอบเขตที่หลายครั้งที่ผู้เขียนมัลแวร์สามารถข้ามการป้องกันของ Google เพื่ออัปโหลดไปยัง Play App Store เคล็ดลับของ SharkBot รวมถึงการหน่วงเวลา ความสามารถในการตรวจจับว่าทำงานอยู่ในแซนด์บ็อกซ์หรือไม่ และรักษาฟังก์ชันที่เป็นอันตรายส่วนใหญ่ไว้ในโมดูลที่ดาวน์โหลดจากเซิร์ฟเวอร์คำสั่งและควบคุมภายนอกหลังจากกระบวนการตรวจสอบแอปของ Play เสร็จสิ้น

แง่มุมหนึ่งของ SharkBot ที่ Check Point กล่าวว่าแทบไม่พบเห็นในมัลแวร์ Android คือการใช้ Domain Generation Algorithm (DGA) เพื่อสลับโดเมน C2 ต่อไป ดังนั้นการบล็อกภัยคุกคามจึงยากขึ้น สิ่งที่น่าสังเกตอีกอย่างคือความสามารถในการระบุตำแหน่งทางภูมิศาสตร์ใน SharkBot ที่ทำให้แน่ใจว่ามัลแวร์จะไม่ทำงานบนอุปกรณ์ Android ที่ตั้งอยู่ในจีน รัสเซีย ยูเครน อินเดีย เบลารุส และโรมาเนีย

“DGA เป็นอัลกอริธึมที่ไคลเอนต์ที่ประสงค์ร้ายและผู้กระทำผิดสามารถเปลี่ยนแปลงเซิร์ฟเวอร์ C2 ได้พร้อมกัน โดยไม่ต้องมีการสื่อสารใดๆ” Alexander Chailytko ผู้จัดการฝ่ายวิจัยความปลอดภัยทางไซเบอร์และนวัตกรรมของ Check Point Software กล่าว ด้วย DGA Sharkbot สามารถสร้างโดเมนได้ 35 โดเมนต่อสัปดาห์ ซึ่งทำให้กระบวนการบล็อกเซิร์ฟเวอร์ของผู้ให้บริการมัลแวร์ซับซ้อนขึ้น

ความจริงที่ว่าการกระทำที่เป็นอันตรายทั้งหมดของ SharkBot นั้นถูกเรียกจากเซิร์ฟเวอร์คำสั่งและการควบคุมก็หมายความว่าแอพที่เป็นอันตรายสามารถอยู่ในสถานะ “ปิด” ในระหว่างระยะเวลาทดสอบใน Google Play และเปิด “เปิด” เมื่อไปถึง อุปกรณ์ของผู้ใช้ Chalytko กล่าว

ฟังก์ชั่นที่ซับซ้อน

ทั้ง Cleafy ซึ่งเป็นคนแรกที่ค้นพบมัลแวร์และกลุ่ม NCC ในรายงานเมื่อเดือนที่แล้วระบุว่า SharkBot ใช้เทคนิคที่เรียกว่า Automatic Transfer Systems (ATS) เพื่อเริ่มการโอนเงินจากบัญชีธนาคารของเจ้าของอุปกรณ์ Android ที่ติด SharkBot เทคนิคนี้โดยทั่วไปเกี่ยวข้องกับฟิลด์และรูปแบบการป้อนอัตโนมัติของมัลแวร์ที่ธนาคารมักต้องการเพื่อเริ่มต้นการโอนเงิน เมื่อเหยื่อใช้อุปกรณ์ที่ถูกบุกรุกเพื่อเข้าสู่บัญชีธนาคารของพวกเขา การโจรกรรมดังกล่าวอาจตรวจพบได้ยาก เนื่องจากสามารถข้ามการตรวจสอบแบบหลายปัจจัยและดำเนินการโดยผู้ใช้ที่เชื่อถือได้ซึ่งมีอุปกรณ์ที่ลงทะเบียนไว้ก่อนหน้านี้ Cleafy กล่าว

Chris Clements รองประธานฝ่ายสถาปัตยกรรมโซลูชันของ Cerberus Sentinel กล่าวว่าแอปมัลแวร์ที่ใช้การหน่วงเวลา เทคนิคการทำให้สับสนของโค้ด และการระบุตำแหน่งทางภูมิศาสตร์อาจตรวจพบได้ยาก อย่างไรก็ตาม ความสม่ำเสมอของการค้นพบพวกเขาในร้านค้าแอปอย่างเป็นทางการของ Google และ Apple ทำลายความไว้วางใจของผู้ใช้ในความปลอดภัยของแอปทั้งหมดบนแพลตฟอร์มเหล่านี้ โดยเฉพาะอย่างยิ่งเนื่องจากผู้ขายทั้งสองกล่าวว่าร้านแอปของตนปลอดภัย Clements กล่าวว่า “มันเป็น ปัญหาใหญ่ส่วนหนึ่งเป็นเพราะความสำเร็จในการประนีประนอมอุปกรณ์มือถือที่เป็นศูนย์กลางของชีวิตดิจิทัลของบุคคลทำให้ผู้โจมตีเข้าถึงได้ในวงกว้างเพื่อสร้างความเสียหายที่สำคัญ”

เขาสนับสนุนให้ผู้ใช้อุปกรณ์เคลื่อนที่ให้ความสำคัญกับการอนุญาตที่พวกเขามอบให้กับแอปที่ดาวน์โหลด โดยเฉพาะแอปที่ต้องการเข้าถึง “บริการการเข้าถึง” บน Android เพื่อช่วยเหลือผู้ใช้ที่มีความพิการ

https://www.darkreading.com/endpoint/google-removes-dangerous-banking-malware-from-play-store