พบมัลแวร์ Android เวอร์ชันใหม่ที่อันตรายมากแล้ว การทำซ้ำที่ได้รับการปรับปรุงนี้มุ่งเป้าไปที่นักลงทุนที่ถือครองสกุลเงินดิจิทัล เรารวบรวมวิธีการดำเนินการของอาชญากรไซเบอร์ที่ถูกเจาะข้อมูลแต่มีประสิทธิภาพ
ปีที่แล้วมัลแวร์ Android เรียกว่าซีโนมอร์ฟ, ปรากฏขึ้น. ไวรัสสามารถเลี่ยงการป้องกันของเพลย์สโตร์แอพสโตร์ Android ของ Google แพร่ระบาดในอุปกรณ์มากกว่า 50,000 เครื่อง
ในระหว่างการบัพติศมาด้วยไฟ Xenomorph มีวัตถุประสงค์เดียวเท่านั้น: ขโมยรายละเอียดธนาคารผู้ใช้ โดยเฉพาะอย่างยิ่งเขาได้โจมตีสถาบันการเงินในยุโรปหลายสิบแห่ง โดยเฉพาะในสเปนและเบลเยียม ธนาคารมากกว่าห้าสิบแห่งตกเป็นเป้าหมายของมัลแวร์
อ่านเพิ่มเติม:ในที่สุด Google ก็เข้าใจแล้วว่ามัลแวร์แทรกซึมเข้าไปใน Play Store ได้อย่างไร
ไวรัส Xenomorph กลายเป็น crypto
ตามรายงานจาก ThreatFabricซีโนมอร์ฟได้พัฒนาแล้วนับตั้งแต่ปรากฏตัวครั้งแรก นักวิจัยนับมัลแวร์ได้ห้าเวอร์ชันจริงๆ นักพัฒนาที่อยู่เบื้องหลังไวรัสเพิ่มเข้ามา“คุณสมบัติใหม่”ในช่วงหลายเดือนที่ผ่านมา
เหนือสิ่งอื่นใด ตอนนี้มัลแวร์ยังกำหนดเป้าหมายไปที่กระเป๋าเงินที่ถือสกุลเงินดิจิทัลด้วย หลังจากกำหนดเป้าหมายตัวระบุธนาคารของผู้ใช้แล้ว ตอนนี้จะกำหนดเป้าหมายคีย์ส่วนตัว ซึ่งก็คือลำดับของคำที่อนุญาตให้เข้าถึงเงินทุนที่เก็บไว้ในกระเป๋าเงินบนบล็อกเชน
กับดักที่ถูกแฮ็ก
วิธีการดำเนินการใหม่ของ Xenomorph คือการดักจับผู้ใช้กูเกิลโครม- แฮกเกอร์จะแสดงขึ้นมาหน้าต่างป๊อปอัปพร้อมคำเตือนที่เบราว์เซอร์ Chrome มี“จำเป็นต้องปรับปรุง”- มันเป็นกลยุทธ์ที่เก่าแก่ซึ่งยังคงพบเห็นได้ทั่วไปในไซต์ที่น่าสงสัยจำนวนนับไม่ถ้วน
“โดยทั่วไปแล้วการอัปเดตเบราว์เซอร์ไม่ได้ประกาศถึงความจำเป็นในการดำเนินการนี้กลางหน้าจอ โดยเฉพาะอย่างยิ่งในขณะที่คุณกำลังท่องเว็บ”, ขีดเส้นใต้มัลแวร์ไบต์ซึ่งถ่ายทอดการค้นพบของ ThreatFabric
หน้าต่างนี้สนับสนุนให้ผู้คนดาวน์โหลดและติดตั้งการอัปเดต Chrome ล่าสุดได้ในคลิกเดียว แทนที่จะอัปเดต ไฟล์ที่มีรหัส Xenomorph จะถูกติดตั้งบนสมาร์ทโฟน
หน้าต่างจำลอง
เมื่อมัลแวร์สามารถแพร่ระบาดในโทรศัพท์ได้ มัลแวร์จะทำทุกอย่างที่เป็นไปได้เพื่อให้ได้คีย์ส่วนตัวของเหยื่อ โดยจะอาศัยวิธีการเป็นหลักการซ้อนทับที่เป็นเท็จยอดนิยมมากกับไวรัสธนาคาร โดยพื้นฐานแล้ว Xenomorph จะแสดงหน้าต่างเท็จเหนือแอปพลิเคชันที่ให้คุณจัดเก็บสกุลเงินดิจิทัล เช่น Metamask
หน้าต่างปลอมเหล่านี้จะเข้าควบคุมอินเทอร์เฟซของบริการที่เลียนแบบ ด้วยฟีเจอร์ใหม่ Xenormorph ก็สามารถทำได้เช่นกันเลียนแบบพฤติกรรมของแอปพลิเคชันการแสดงเนื้อหาที่ถูกต้องผ่าน WebView ส่วนประกอบซอฟต์แวร์ Android นี้ช่วยให้คุณสามารถแสดงเนื้อหาเว็บภายในแอปพลิเคชันได้โดยตรง ดังนั้นไวรัสจึงไม่จำเป็นต้องเปลี่ยนไอคอน ซึ่งบางครั้งทำให้เกิดการแจ้งเตือนด้านความปลอดภัย
“ด้วยการแอบอ้างเป็นแอปพลิเคชันอื่น Xenomorph สามารถหลีกเลี่ยงการใช้เทคนิคนี้ […] หนึ่งในพฤติกรรมทั่วไปของมัลแวร์ Android”คำอธิบาย ThreatFabric
จากนั้นผู้ใช้จะป้อนตัวระบุและคีย์ส่วนตัวในหน้าต่างปลอม โดยคิดว่าพวกเขากำลังโต้ตอบกับแอป crypto อย่างเป็นทางการ แฮกเกอร์จะยึดคีย์ส่วนตัว ด้วยสิ่งเหล่านี้ พวกเขาจะสามารถดูดกระเป๋าสตางค์ของผู้ใช้ออกได้โดยไม่มีอุปสรรคแม้แต่น้อย เงินจะถูกโอนผ่านบล็อคเชนไปยังที่อยู่อื่น
แอปประมาณร้อยแอปตกเป็นเป้าหมายของ Xenomorph
สิ่งใหม่เพิ่มเติมในคลังแสงของ Xenormorph ได้แก่ เครื่องมือที่สามารถจำลองการคลิกบนหน้าจอสัมผัสได้ คุณสมบัตินี้ช่วยให้คุณสามารถข้ามหน้าจอยืนยันหรือดำเนินการง่ายๆ อื่นๆ โดยที่ผู้ใช้ไม่ทราบ อีกกลไกหนึ่งป้องกันไม่ให้สมาร์ทโฟนเข้าสู่โหมดสลีปเพื่อหลีกเลี่ยงการหยุดชะงักในกระบวนการขโมยข้อมูล
มากกว่าแอพที่แตกต่างกัน 100 แอพXenormorph สามารถเลียนแบบได้ หนึ่งในเป้าหมายของไวรัสคือทั้งธนาคารและบริการ crypto ThreatFabric กล่าว ตัวอย่าง ได้แก่ แอปเช่น Binance, Trust, Poloniex, Coinbase, Kraken, Metamask, Bitpay หรือ Bitstamp โปรดทราบว่าธนาคารเบลเยียมหลายแห่งยังคงเป็นเป้าหมายอยู่ รวมถึง Belfius, Axa, KBC และ ING ตามที่ผู้เชี่ยวชาญระบุว่า ซอฟต์แวร์ดังกล่าวได้รับการดาวน์โหลดจากอุปกรณ์นับพันครั้งนับตั้งแต่กลับมาอีกครั้ง
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : ThreatFabric
