พบ Malware Family ใหม่ใน Google Play Store แพร่กระจายไปยังผู้ใช้ระบบปฏิบัติการ Android แล้วกว่า 285,000 อุปกรณ์ทั่วโลก

นักวิจัยค้นพบตระกูลโทรจันใหม่ที่ชื่อว่า“ Venus ”  โดยมี application  8 app ที่เกี่ยวข้องกับมัลแวร์ชนิดนี้ โดยเป้าหมายของมัลแวร์คือ การเรียกเก็บเงิน และพื้นที่โฆษณาของผู้ให้บริการ

โดย Threat actors พัฒนา app เหล่านี้ขึ้นมาเพื่อให้ผู้ใช้งานรับ  Ads และ subscribe premium services โดยจะไม่ปรากฏการแจ้งเตือนใด ๆให้กับผู้ใช้งาน นอกจากนี้ app ยัง bypasses ระบบป้องกันและตรวจจับมัลแวร์ของ Google Play ได้อีกด้วย

มีหลายประเทศที่ตกเป็นเป้าหมายของแคมเปญมัลแวร์นี้ ได้แก่เบลเยียม,ฝรั่งเศส,เยอรมนี,กินี,โมร็อกโก,เนเธอร์แลนด์,โปแลนด์,โปรตุเกส,เซเนกัลส,เปน,และ ตูนิเซีย

นักวิจัยสังเกตว่า มัลแวร์ติดตั้งผ่าน app ที่เรียกว่า Quick scanner ซึ่งได้รับการ protected ที่เข้ารหัส และ ซ่อนไฟล์ไว้
ตามการวิจัยของ Evina“ แอปพลิเคชั่นนี้ใช้ไลบรารี libjiagu ที่สร้างโดย บริษัท จีน Qihoo
จากการวิเคราะห์เชิงลึกเพิ่มเติมพบว่า apps มี code หลอกลวง ในไฟล์ Android พร้อมกับมี anti-reverse processes เพื่อให้ไฟล์ที่ถูก imported และ decrypted ในหน่วยความจำเพื่อ bypass การตรวจจับของ Google
เมื่อทำการโจมตีสำเร็จมัลแวร์ Venus จะสื่อสารกับ C2 server domain(glarecube[.]com)  ซึ่งควบคุมโดยผู้โจมตีเพื่อส่งencrypted request.

หลังจากถอดรหัสแล้วเซิร์ฟเวอร์จะ response ด้วยสองสิ่งต่อไปนี้
  1) All the instructions containing URLs that redirect to premium services or websites containing ads, all created by the fraudster
  2) The javascript commands making the fraudulent process

หาก app ถูกเปิดใช้งาน URL จะถูกโหลดเข้าสู่  browserโดยไม่แจ้งให้ผู้ใช้ทราบว่าเกิดอะไรขึ้นและสมัครรับโฆษณาพรีเมียม  ผู้โจมตีก็จะสามารถสร้างผลกำไรจากการคลิกโฆษณาและการสมัครบริการระดับพรีเมียม

Cr.https://gbhackers.com/venus-google-play/

Share

Add Your Comments

Your email address will not be published. Required fields are marked *