Predator Spyware กำหนดเป้าหมายผู้ใช้ Android ด้วย Zero-Day Exploits 

Threat Analysis Group (TAG) ของ Google กล่าวว่าผู้ไม่ประสงค์ดีใช้ 5 ช่องโหว่ในการติดตั้ง Predator Spyware กำหนดเป้าหมายไปที่ Chrome และ Android OS ที่พัฒนาโดย Cytrox  

การโจมตีเหล่านี้เป็นส่วนหนึ่งของ 3 campaign ที่เริ่มระหว่างเดือนสิงหาคม ถึงตุลาคม 2564 ตามการวิเคราะห์ของ Google ผู้ไม่ประสงค์ดีได้รับการสนับสนุนจากรัฐบาลและใช้ประโยชน์จากช่องโหว่เหล่านี้เพื่อโจมตี 

รายการช่องโหว่ 5 ช่องโหว่ ได้แก่: 

– CVE-2021-37973 ,  CVE-2021-37976 ,  CVE-2021-38000 ,  CVE-2021-38003  ใน Chrome 

– CVE-2021-1048  ใน Android 

ภัยคุกคามที่ผู้ไม่ประสงค์ดีใช้ช่องโหว่โจมตีในแคมเปญที่แตกต่างกันได้แก่: 

– Campaign 1 – เปลี่ยนเส้นทางไปยัง SBrowser จาก Chrome (CVE-2021-38000) 

– Campaign 2 – หลบเลี่ยงการตรวจจับของ Chrome Sandbox (CVE-2021-37973, CVE-2021-37976) 

– Campaign 3 – การใช้ประโยชน์จาก Android Zero-Day เต็มรูปแบบ (CVE-2021-38003, CVE-2021-1048) 

ทั้ง 3 Campaign เริ่มต้นด้วยการส่ง Spear-Phishing Email แบบ one-time link โดยเลียนแบบ URL Shortener Services ไปที่เหยื่อ เมื่อคลิกแล้ว link จะเปลี่ยนเส้นทางเป้าหมายไปยัง Domain ของผู้ไม่ประสงค์ดี ก่อนที่จะเปลี่ยนเส้นทาง Browser ไปยังเว็บไซต์ที่ถูกต้อง หาก link ไม่ทำงาน เหยื่อจะถูกเปลี่ยนเส้นทางโดยตรงไปยังเว็บไซต์ที่ถูกต้อง 

เป้าหมายการดำเนินการนี้เพื่อติดตั้ง Malware มีชื่อว่า Alien ซึ่งทำหน้าที่โหลด Predator ลงในอุปกรณ์ Android ที่ติดไวรัส ซึ่ง Alien รับคำสั่งจาก PREDATOR ผ่าน IPC รวมถึงทำการบันทึกเสียง เพิ่มใบรับรอง CA และ ซ่อน Application ที่อันตราย 

คำแนะนำ 

1. ควรหลีกเลี่ยงการคลิกลิงก์แปลกปลอมหรือน่าสงสัย 

2. ควรหลีกเลี่ยงการโหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ

3. ควรอัพเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุด เพื่อลดการเกิดช่องโหว่ 

4. ควรแสกนไวรัสอย่างสม่ำเสมอ 

5.    ควรสำรองไฟล์ข้อมูลที่สำคัญไว้บนระบบคลาวด์ (Cloud Platform) เช่น Google Cloud เป็นต้น 

6. ควรตรวจสอบไฟล์ที่ดาวน์โหลดมาก่อนติดตั้งหรือทำการคลิก สามารถตรวจสอบไฟล์ได้ที่ 

(https://www.virustotal.com/gui/home/upload) 

Ref: https://www.bleepingcomputer.com/news/security/google-predator-spyware-infected-android-devices-using-zero-days/ 

Share