Android App สามตัวบน Google Play ถูกใช้โดยผู้ไม่ประสงค์ดี
Android App สามตัวบน Google Play ถูกใช้โดยผู้ไม่ประสงค์ดี
เพื่อรวบรวมข้อมูลข่าวกรองจากอุปกรณ์เป้าหมาย เช่น ข้อมูลตำแหน่ง และ รายชื่อผู้ติดต่อ
โดย Android App ที่เป็นอันตรายถูกค้นพบโดย Cyfirma
ซึ่งถูกระบุว่ามาจากกลุ่มผู้ไม่ประสงค์ดีชื่อ “DoNot” จากอินเดีย
และถูกติดตามด้วยชื่อ APT-C-35 โดยกำหนดเป้าหมายไปยัง
องค์กรที่มีชื่อเสียงระดับสูงในเอเชียตะวันอกเฉียงใต้ ตั้งแต่ปี 2018
โดยตัวแอพล่าสุดของ DoNot ได้ทำการรวบรวมข้อมูลพื้นฐาน
เพื่อเตรียมการสำหรับการทำให้ติดมัลแวร์ที่เป็นอันตรายมากขึ้น
และดูเหมือนจะเป็นขั้นตอนแรกของการโจมตีโดยผู้ไม่ประสงค์ดี
Play Store Apps
แอปพลิเคชันน่าสงสัยที่ Cyfirma พบบน Google Play คือ nSure Chat และ iKHfaa VPN ซึ่งทั้งคู่ถูกอัปโหลดจาก SecurITY Industry โดยทั้งสองแอปที่มาจากผู้เผยแพร่เดียวกัน ไม่มีการปรากฏว่าเป็นอันตราย และยังคงมีให้บริการบน Google Play ซึ่งตัวแอปทั้งสองมีการร้องขอการอนุญาตที่มีความเสี่ยงระหว่างการติดตั้ง คือ การเข้าถึงรายชื่อผู้ติดต่อของผู้ใช้ และ ข้อมูลตำแหน่งที่แม่นยำ เพื่อสกัดข้อมูลนี้ไปยังผู้ไม่ประสงค์ดี
เป้าหมาย กลยุทธ์ และ การระบุแหล่งที่มา
การระบุแหล่งที่มาของ Cyfirma ต่อกลุ่มผู้ไม่ประสงค์ดี DoNot นั้นขึ้นอยู่กับการใช้การเข้ารหัสอย่างเฉพาะเจาะจงโดยใช้อัลกอริทึม AES/CBC/PKCS5PADDING และการ Proguard ซึ่งเป็นเทคนิคที่เกี่ยวข้องกับผู้ไม่ประสงค์ดีจากอินเดีย นักวิจัยเชื่อว่าผู้ไม่ประสงค์ดีได้เปลี่ยนจากกลวิธีในการส่ง Phishing Email ที่เป็นอันตราย และหันไปใช้การโจมตีด้วย Spear Message ผ่าน WhatApp และ Telegram ซึ่งข้อความเหล่านี้จะนำทางไปยัง Google Play Store ซึ่งเป็น Platform ที่น่าเชื่อถือได้ ทำให้สามารถหลอกล่อให้ดาวน์โหลดแอปที่แนะนำได้อย่างง่าย
คำแนะนำ
1. ทำการอัปเดตซอฟต์แวร์ต่างๆให้เป็นเวอร์ชั่นล่าสุดอยู่เสมอ
2. ติดตั้งตัว Anti-Spyware เพื่อทำการตรวจจับสิ่งแปลกปลอมที่จะเข้ามาฝังตัวอยู่ภายในเครื่อง
3. หลีกเลี่ยงการดาวน์โหลดซอฟต์แวร์จากแหล่งที่มาที่ไม่รู้จัก
Ref. : https://www.bleepingcomputer.com/news/security/android-spyware-camouflaged-as-vpn-chat-apps-on-google-play/?&web_view=true