การโจมตีครั้งนี้คาดว่ามาจากกลุ่ม SeaFlower
พบผู้ไม่ประสงค์ดีได้กำหนดเป้าหมายไปยังผู้ใช้ระบบปฏิบัติการ Android และ iOS ในการแพร่กระจายแอปพลิเคชันที่เต็มไปด้วยโค้ดอันตราย มีจุดประสงค์เพื่อขโมยเงินของผู้ใช้ แคมเปญนี้จะจำลองเว็บไซต์เพื่อเลียนแบบ Cryptocurrency Wallet Websites (Web3 wallets)
แอปพลิเคชันที่อันตรายใน iOS และ Android ตัวอย่าง เช่น :
- Coinbase Wallet
- MetaMask Wallet
- TokenPocket
- imToken
แอป Wallet เวอร์ชันที่เป็นอันตรายเหล่านี้มีฟังก์ชันที่ถูกต้องตามกฎหมาย และแฝงฟังก์ชันการขโมยไว้ด้วยกัน
ซึ่งพวกเขาสามารถใช้ประโยชน์จาก Cryptocurrency ที่ถูกขโมยของผู้ใช้ได้
การโจมตีครั้งนี้คาดว่ามาจากกลุ่ม SeaFlower โดยสังเกตจาก ชื่อผู้ใช้ macOS, ความคิดเห็นในโค้ดของแบ็คดอร์, การใช้เครื่องมือค้นหาภาษาจีน ซึ่งผู้โจมตีได้สร้างเว็บไซต์เพื่อแพร่กระจายแอปพลิเคชันปลอม และสร้าง Clones ของเว็บไซต์ที่ถูกกฎหมาย
นอกจากนี้ Baidu และ Search Engines ของจีนอื่น ๆ ได้พยายามหลอกผู้ใช้ที่อาจตกเป็นเหยื่อมายังเว็บไซต์นี้ด้วย Search Engine ที่เป็นอันตราย
นอกจากการกำหนดเป้าหมายไปที่ผู้ใช้ iOS แล้ว ยังใช้ประโยชน์จาก Provisioning Profiles ของอุปกรณ์ iOS และยังมีแอพ iOS ที่มีมัลแวร์ติดตั้งอยู่ด้วย โดย Apple ได้เพิกถอนรหัสนักพัฒนาที่เกี่ยวข้องกับโปรไฟล์เหล่านี้แล้วหลังจากที่ Confiant แจ้งเรื่องดังกล่าว
คำแนะนำ
- หลีกเลี่ยงหน้าเว็บไซต์ที่น่าสงสัย ไม่เปิดลิงก์ และไม่เปิดไฟล์แนบที่ไม่ปลอดภัย
- ระวังโปรแกรมฟรี โดยเฉพาะ เกมส์ เพลง และภาพยนตร์ที่ละเมิดลิขสิทธิ์
- ไม่ดาวน์โหลดแอปพลิเคชันที่เป็นอันตรายดังกล่าว
- ทำการอัปเดตระบบปฏิบัติการให้ใหม่อยู่เสมอ และตลอดเวลา
- อย่าให้สิทธิ์เข้าถึงอุปกรณ์กับแอปทั้งหมดที่ติดตั้ง
- ใช้ไฟร์วอลล์, แอนตี้ไวรัส, และตัวสแกน Rootkit
- ทำการทดสอบความปลอดภัยเป็นประจำ
- ใช้ระบบพิสูจน์ตัวตนแบบหลาย ๆ ปัจจัย (MFA)
Ref: https://gbhackers-com.cdn.ampproject.org/c/s/gbhackers.com/chinese-hackers-backdoor/amp/