ผู้ไม่ประสงค์ดีชาวจีน ติดตั้งแบ็คดอร์ใน iOS/Android Web3 Wallets

By admin Uncategorized

การโจมตีครั้งนี้คาดว่ามาจากกลุ่ม SeaFlower

พบผู้ไม่ประสงค์ดีได้กำหนดเป้าหมายไปยังผู้ใช้ระบบปฏิบัติการ Android และ iOS ในการแพร่กระจายแอปพลิเคชันที่เต็มไปด้วยโค้ดอันตราย มีจุดประสงค์เพื่อขโมยเงินของผู้ใช้ แคมเปญนี้จะจำลองเว็บไซต์เพื่อเลียนแบบ Cryptocurrency Wallet Websites (Web3 wallets) 

แอปพลิเคชันที่อันตรายใน iOS และ Android ตัวอย่าง เช่น : 

  • Coinbase Wallet 
  • MetaMask Wallet 
  • TokenPocket 
  • imToken 

แอป Wallet เวอร์ชันที่เป็นอันตรายเหล่านี้มีฟังก์ชันที่ถูกต้องตามกฎหมาย และแฝงฟังก์ชันการขโมยไว้ด้วยกัน  
ซึ่งพวกเขาสามารถใช้ประโยชน์จาก Cryptocurrency ที่ถูกขโมยของผู้ใช้ได้ 

การโจมตีครั้งนี้คาดว่ามาจากกลุ่ม SeaFlower โดยสังเกตจาก ชื่อผู้ใช้ macOS, ความคิดเห็นในโค้ดของแบ็คดอร์,  การใช้เครื่องมือค้นหาภาษาจีน ซึ่งผู้โจมตีได้สร้างเว็บไซต์เพื่อแพร่กระจายแอปพลิเคชันปลอม และสร้าง Clones ของเว็บไซต์ที่ถูกกฎหมาย  

นอกจากนี้ Baidu และ Search Engines ของจีนอื่น ๆ ได้พยายามหลอกผู้ใช้ที่อาจตกเป็นเหยื่อมายังเว็บไซต์นี้ด้วย Search Engine ที่เป็นอันตราย 

นอกจากการกำหนดเป้าหมายไปที่ผู้ใช้ iOS แล้ว ยังใช้ประโยชน์จาก Provisioning Profiles ของอุปกรณ์ iOS  และยังมีแอพ iOS ที่มีมัลแวร์ติดตั้งอยู่ด้วย โดย Apple ได้เพิกถอนรหัสนักพัฒนาที่เกี่ยวข้องกับโปรไฟล์เหล่านี้แล้วหลังจากที่ Confiant แจ้งเรื่องดังกล่าว 

คำแนะนำ 

  1. หลีกเลี่ยงหน้าเว็บไซต์ที่น่าสงสัย ไม่เปิดลิงก์ และไม่เปิดไฟล์แนบที่ไม่ปลอดภัย  
  1. ระวังโปรแกรมฟรี โดยเฉพาะ เกมส์ เพลง และภาพยนตร์ที่ละเมิดลิขสิทธิ์ 
  1. ไม่ดาวน์โหลดแอปพลิเคชันที่เป็นอันตรายดังกล่าว 
  1. ทำการอัปเดตระบบปฏิบัติการให้ใหม่อยู่เสมอ และตลอดเวลา 
  1. อย่าให้สิทธิ์เข้าถึงอุปกรณ์กับแอปทั้งหมดที่ติดตั้ง  
  1. ใช้ไฟร์วอลล์, แอนตี้ไวรัส, และตัวสแกน Rootkit 
  1. ทำการทดสอบความปลอดภัยเป็นประจำ 
  1. ใช้ระบบพิสูจน์ตัวตนแบบหลาย ๆ ปัจจัย (MFA) 

Ref: https://gbhackers-com.cdn.ampproject.org/c/s/gbhackers.com/chinese-hackers-backdoor/amp/ 

 

Share