Kaspersky ค้นพบมัลแวร์ Necro เวอร์ชันใหม่บน Google Play Store ซ่อนอยู่ในแอพ Android ที่ถูกกฎหมายสองแอพ ทำให้มีผู้ใช้มากกว่า 11 ล้านคนทั่วโลก ไวรัสใช้เทคนิคที่ซับซ้อนเพื่อซ่อนกิจกรรมการฉ้อโกง
Kaspersky ได้ค้นพบมัลแวร์ที่รู้จักเวอร์ชันใหม่บน Google Play Store ไวรัสที่เรียกว่า Necro เป็นหนึ่งใน "ตัวโหลด" นี่คือมัลแวร์ที่ออกแบบมาเพื่อแทรกซึมระบบและโหลดมัลแวร์อื่น ๆ- ไวรัสสร้างชื่อให้กับตัวเองแล้วในปี 2562 โดยแพร่ระบาดไปยังสมาร์ทโฟน Android มากกว่า 100 ล้านเครื่อง
ในการเข้าสู่สมาร์ทโฟนของเหยื่อ ไวรัสยังแสดงตัวเองเป็นม้าโทรจัน, หรือ “โทรจัน” ในภาษาอังกฤษ. กล่าวโดยสรุป มัลแวร์ปลอมตัวเป็นแอปพลิเคชันที่ไม่เป็นอันตรายเพื่อหลอกผู้ใช้อินเทอร์เน็ต ในกรณีนี้ Necro ถูกซ่อนอยู่ในโค้ดของแอป Play Store สองแอป
อ่านเพิ่มเติม:แอพ Android มากเกินไปใน Play Store ต้องการ 'การอนุญาตที่เป็นอันตราย'
ดาวน์โหลดสิบเอ็ดล้านครั้งบน Play Store
ตามที่ Kaspersky ระบุไว้ แอปพลิเคชันที่ถูกบุกรุกทั้งสองนี้ได้รับการติดตั้งโดยมีผู้ใช้งานทั้งหมด 11 ล้านคน- ตรวจพบไวรัสครั้งแรกในโค้ดของ Wuta Camera ของ Benqu ซึ่งเป็นแอปตกแต่งรูปภาพ มัลแวร์ดังกล่าวปรากฏในเวอร์ชัน 6.3.2.148 ของแอปพลิเคชัน รายงานนักวิจัยชาวรัสเซียกล่าว มันยังคงซ่อนอยู่ในโค้ดของแอปจนกว่าจะมีการเปิดตัวเวอร์ชัน 6.3.7.138
Wuta Camera เพียงอย่างเดียวมียอดดาวน์โหลดถึงสิบล้านครั้ง ตามคำแนะนำของ Kaspersky ผู้พัฒนาได้อัปเดตแอปพลิเคชันเพื่อกำจัดโค้ดมัลแวร์ แม้ว่า Google และ Kaspersky จะใช้มาตรการต่างๆ ก็ตาม แต่มัลแวร์ที่ติดตั้งผ่านเวอร์ชันเก่าก็ยังคงปรากฏบนอุปกรณ์ Android
จากนั้นเราจะพบ Max Browser จากผู้พัฒนา WA message recovery-wamr ซึ่งเป็นเว็บเบราว์เซอร์สำหรับมือถือ ก่อนที่ Google จะลบแอปพลิเคชันดังกล่าว มียอดดาวน์โหลดบนแพลตฟอร์มถึงหนึ่งล้านครั้ง ขอย้ำอีกครั้งว่ามีความเสี่ยงที่ไวรัสที่ติดตั้งก่อนที่แอปจะถูกลบอาจยังปรากฏอยู่ในโทรศัพท์ที่ติดไวรัส โปรดทราบว่าฝรั่งเศสเป็นหนึ่งในประเทศที่ได้รับผลกระทบจาก Necro อย่างไรก็ตาม รัสเซีย บราซิล และเวียดนาม เป็นหนึ่งในประเทศที่มีผู้ติดเชื้อมากที่สุด
SDK โฆษณาที่เป็นอันตรายที่เป็นหัวใจสำคัญของการโจมตี
เพื่อเจาะลึกแอปพลิเคชันโดยที่นักพัฒนาไม่รู้ Necro จึงแทรกเข้าไปใน SDK โฆษณา (หรือชุดพัฒนาซอฟต์แวร์โฆษณา) ซึ่งเป็นชุดเครื่องมือและไลบรารีที่นักพัฒนารวมเข้ากับแอปพลิเคชันของตนแสดงโฆษณา-
SDK ที่เรียกว่า Coral SDK ได้เพิ่มกลยุทธ์เพื่อซ่อนความตั้งใจที่แท้จริง อาชญากรไซเบอร์ที่อยู่เบื้องหลังปฏิบัติการนี้โดยเฉพาะทำให้รหัสสับสนของ SDK แนวทางปฏิบัตินี้เกี่ยวข้องกับการทำให้โค้ดซอฟต์แวร์ยากสำหรับผู้เชี่ยวชาญด้านความปลอดภัยหรือโปรแกรมป้องกันไวรัสในการทำความเข้าใจหรือวิเคราะห์ การสร้างความสับสนจะซ่อนลักษณะที่แท้จริงของมัลแวร์ด้วยการทำให้มันซับซ้อนเกินความจำเป็น
นอกจากนี้แฮกเกอร์ยังใช้การอำพรางภาพ- พวกเขาซ่อนคำแนะนำไว้ในรูปภาพในรูปแบบ PNG เมื่อดูเผินๆ รูปภาพเหล่านี้อาจดูเหมือนปกติ แต่จริงๆ แล้วมีคำสั่งที่เป็นอันตรายเพื่อให้ SDK ดำเนินการ นี่เป็น “เทคนิคที่หายากมากสำหรับมัลแวร์มือถือ” Kaspersky กล่าว นี่คือวิธีที่ Necro สามารถหลอกลวงความระมัดระวังของนักพัฒนาและจบลงที่ Play Store ในแอปพลิเคชันที่ถูกกฎหมาย
โฆษณาที่มองไม่เห็นและการสมัครสมาชิกที่ฉ้อโกง
เมื่อติดตั้งบนสมาร์ทโฟนของผู้ใช้แล้ว Necro จะดาวน์โหลดอย่างรอบคอบมัลแวร์หลายประเภท- มัลแวร์จะติดตั้งแอดแวร์ก่อนซึ่งสามารถแสดงโฆษณาที่มองไม่เห็นโดยที่ผู้ใช้ไม่รู้ตัว สิ่งนี้ทำให้อาชญากรไซเบอร์สามารถสร้างรายได้จากการโฆษณาที่ฉ้อโกงได้ นอกจากนี้ยังเพิ่มเครื่องมือที่ออกแบบมาเป็นพิเศษเพื่ออำนวยความสะดวกในการฉ้อโกงการสมัครสมาชิก เครื่องมือเหล่านี้ช่วยให้แน่ใจว่าผู้ใช้ลงทะเบียนใช้บริการแบบชำระเงินโดยไม่ได้รับความยินยอม พวกเขาสามารถจำลองการคลิกปุ่มหรือกรอกแบบฟอร์มสมัครสมาชิกโดยอัตโนมัติในเบื้องหลัง เหยื่อพบว่าตัวเองจำเป็นต้องชำระค่าสมัครสมาชิกที่เขาไม่ได้สมัครรับข้อมูล
ในที่สุด Necro ก็สามารถเปลี่ยนอุปกรณ์ที่ติดไวรัสให้เป็นพร็อกซีได้ กล่าวอีกนัยหนึ่ง มัลแวร์จะใช้สมาร์ทโฟนของคุณเป็นตัวกลางในการขนส่งการจราจรที่เป็นอันตรายเช่นการโจมตีหรือการสื่อสารที่ผิดกฎหมายโดยที่คุณไม่รู้
นี่ยังห่างไกลจากครั้งแรกที่ Google Play Store ปล่อยให้แอป Android ที่เป็นอันตรายผ่านเข้ามา แม้ว่า Google จะพยายาม แต่เรายังคงพบแอปพลิเคชันที่ซ่อนมัลแวร์ในร้านค้าอยู่เป็นประจำ เมื่อไม่กี่เดือนที่ผ่านมา นักวิจัยพบมัลแวร์หลายประเภทเริ่มจากไวรัสอานัสอันน่าสะพรึงกลัวในแอพมากกว่า 90 แอพที่เผยแพร่บน Play Store
นี่คือเหตุผลที่เราขอแนะนำไม่ให้คุณดาวน์โหลดแอปพลิเคชันจากแหล่งที่ไม่รู้จัก และคุณควรศึกษาความคิดเห็นทั้งหมดอย่างรอบคอบล่วงหน้า บ่อยครั้งที่ความคิดเห็นทำให้คุณตรวจพบการหลอกลวงได้ อย่างไรก็ตาม ในกรณีนี้ มีผู้ใช้ทำอะไรได้ไม่มากนักเพื่อหลบหนี Necro... อย่างไรก็ตาม ในการโจมตีครั้งนี้ ผู้ใช้จะต้องดำเนินการ:
“หากคุณได้ติดตั้งแอป Google Play ข้างต้นใดๆ และเวอร์ชันดังกล่าวติดไวรัส ให้อัปเดตแอปเป็นเวอร์ชันที่โค้ดที่เป็นอันตรายถูกลบออกหรือลบออก”
ยกเลิกการใช้งาน Play Store
ตามที่ Kaspersky ชี้ให้เห็น มัลแวร์ก็แพร่กระจายเช่นกันและปิด Play Store- นักวิจัยด้านความปลอดภัยค้นพบไวรัสใน APK ที่นำเสนอบนเว็บไซต์ที่ไม่เป็นทางการ มันถูกซ่อนไว้ในโค้ดของ WhatsApp, Spotify หรือ Minecraft เวอร์ชันดัดแปลง
นี่คือเหตุผล“จำนวนอุปกรณ์ที่ติดไวรัสจริงอาจสูงกว่านี้มาก เนื่องจากโทรจันยังแทรกซึมเข้าไปในเวอร์ชันดัดแปลงของแอปพลิเคชั่นยอดนิยมที่เผยแพร่ผ่านแหล่งที่ไม่เป็นทางการ”เน้นย้ำรายงานของ Kaspersky ต้องขอบคุณ Spotify เวอร์ชันที่เป็นอันตรายที่ Kaspersky ค้นพบการมีอยู่ของ Necro ในแอปพลิเคชันที่ถูกดัดแปลงและต่อมาใน Play Store
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
แหล่งที่มา : แคสเปอร์สกี้
