นักวิจัยค้นพบตระกูลโทรจันใหม่ที่ชื่อว่า“ Venus ”
นักวิจัยค้นพบตระกูลโทรจันใหม่ที่ชื่อว่า“ Venus ” โดยมี application 8 app ที่เกี่ยวข้องกับมัลแวร์ชนิดนี้ โดยเป้าหมายของมัลแวร์คือ การเรียกเก็บเงิน และพื้นที่โฆษณาของผู้ให้บริการ
โดย Threat actors พัฒนา app เหล่านี้ขึ้นมาเพื่อให้ผู้ใช้งานรับ Ads และ subscribe premium services โดยจะไม่ปรากฏการแจ้งเตือนใด ๆให้กับผู้ใช้งาน นอกจากนี้ app ยัง bypasses ระบบป้องกันและตรวจจับมัลแวร์ของ Google Play ได้อีกด้วย
มีหลายประเทศที่ตกเป็นเป้าหมายของแคมเปญมัลแวร์นี้ ได้แก่เบลเยียม,ฝรั่งเศส,เยอรมนี,กินี,โมร็อกโก,เนเธอร์แลนด์,โปแลนด์,โปรตุเกส,เซเนกัลส,เปน,และ ตูนิเซีย
นักวิจัยสังเกตว่า มัลแวร์ติดตั้งผ่าน app ที่เรียกว่า Quick scanner ซึ่งได้รับการ protected ที่เข้ารหัส และ ซ่อนไฟล์ไว้
ตามการวิจัยของ Evina“ แอปพลิเคชั่นนี้ใช้ไลบรารี libjiagu ที่สร้างโดย บริษัท จีน Qihoo
จากการวิเคราะห์เชิงลึกเพิ่มเติมพบว่า apps มี code หลอกลวง ในไฟล์ Android พร้อมกับมี anti-reverse processes เพื่อให้ไฟล์ที่ถูก imported และ decrypted ในหน่วยความจำเพื่อ bypass การตรวจจับของ Google
เมื่อทำการโจมตีสำเร็จมัลแวร์ Venus จะสื่อสารกับ C2 server domain(glarecube[.]com) ซึ่งควบคุมโดยผู้โจมตีเพื่อส่งencrypted request.
หลังจากถอดรหัสแล้วเซิร์ฟเวอร์จะ response ด้วยสองสิ่งต่อไปนี้
1) All the instructions containing URLs that redirect to premium services or websites containing ads, all created by the fraudster
2) The javascript commands making the fraudulent process
หาก app ถูกเปิดใช้งาน URL จะถูกโหลดเข้าสู่ browserโดยไม่แจ้งให้ผู้ใช้ทราบว่าเกิดอะไรขึ้นและสมัครรับโฆษณาพรีเมียม ผู้โจมตีก็จะสามารถสร้างผลกำไรจากการคลิกโฆษณาและการสมัครบริการระดับพรีเมียม
Cr.https://gbhackers.com/venus-google-play/