• 12 มิ.ย. 63
• 1345
• Share

  • 
  • 
  • 

มัลแวร์ใน Android ที่หลอกว่าเป็นแอปพลิเคชันติดตาม COVID-19 ส่วนใหญ่เป็นโทรจัน เน้นสอดแนมและขโมยข้อมูล

ทีมวิจัยจากบริษัท Anomali ได้วิเคราะห์มัลแวร์ใน Android จำนวน 12 รายการ ซึ่งเป็นมัลแวร์ที่แอบอ้างว่าเป็นแอปพลิเคชันของรัฐบาลสำหรับใช้ติดตามการสัมผัสเชื้อ COVID-19 ผลการวิเคราะห์พบข้อมูลน่าสนใจคือบางแอปพลิเคชันนั้นเป็นมัลแวร์สายพันธุ์ Anubis และ SpyNote ซึ่งมีความสามารถในการขโมยข้อมูลทางการเงินและสอดแนมพฤติกรรมการใช้งาน โดยช่องทางการแพร่กระจายมัลแวร์มีทั้งส่งลิงก์ให้ดาวน์โหลดไฟล์ APK จากเว็บไซต์ภายนอก เผยแพร่บน Store อื่น และเผยแพร่บน Play Store ของทาง Google เอง

มัลแวร์ Anubis พบในแอปพลิเคชันปลอมที่แอบอ้างว่าเป็นของรัฐบาลประเทศบราซิลและรัสเซีย ตัวมัลแวร์มีความสามารถในการขโมยข้อมูลทางการเงิน เนื่องจาก Anubis นั้นเป็นมัลแวร์ที่มีขายในตลาดมืด ทำให้ผู้โจมตีอาจไม่จำเป็นต้องมีความรู้ทางเทคนิคมากนัก อาศัยการซื้อมัลแวร์สำเร็จรูปมาปรับแต่งแล้วแพร่กระจายต่อ

มัลแวร์ SpyNote พบในแอปพลิเคชันปลอมที่แอบอ้างว่าเป็นของรัฐบาลประเทศอินเดียและอินโดนีเซีย ตัวมัลแวร์มีความสามารถในการรวบรวมข้อมูลและสอดแนมพฤติกรรมการใช้งาน เนื่องจากตัวมัลแวร์นี้ถูกพัฒนาต่อยอดจากซอร์สโค้ดของมัลแวร์ DroidJack และ OmniRat ที่หลุดออกมาก่อนหน้านี้ จึงทำให้มีฟังก์ชันการทำงานที่ใกล้เคียงกัน

ทั้งนี้ ในรายงานของทาง Anomali ไม่ได้รวมมัลแวร์ที่แพร่ระบาดในประเทศไทย โดยที่ผ่านมาทางไทยเซิร์ตได้ตรวจพบการแพร่กระจายมัลแวร์ใน Android ที่แอบอ้างว่าเป็นแอปพลิเคชันของรัฐบาลไทย โดยส่วนใหญ่เป็นมัลแวร์ประเภทโทรจันและมัลแวร์ Cerberus ซึ่งมีความสามารถในการขโมยข้อมูลทางการเงิน (Cerberus เป็นมัลแวร์สำเร็จรูปที่มีขายในตลาดมืด เช่นเดียวกับ Anubis) ช่องทางการแพร่กระจายมีทั้งการส่ง SMS หลอกให้ดาวน์โหลดไฟล์ APK และเผยแพร่แอปพลิเคชันปลอมบน Play Store

เนื่องจากสถานการณ์การแพร่ระบาดของโรค COVID-19 นั้นมีแนวโน้มที่จะคงอยู่ไปอีกเป็นระยะเวลาหนึ่ง ซึ่งรัฐบาลของหลายประเทศก็ได้พยายามหาวิธีติดตามการแพร่ระบาดของโรค เช่น ใช้แอปพลิเคชันติดตามการสัมผัส (contact tracing) ผู้ประสงค์ร้ายจึงมักฉวยโอกาสนี้ในการหลอกแพร่กระจายมัลแวร์ได้ ในการป้องกันและลดความเสี่ยง ผู้ใช้ควรติดตามข่าวสารจากช่องทางที่น่าเชื่อถือ ดาวน์โหลดแอปพลิเคชันจากแหล่งทางการ และพิจารณาความน่าเชื่อถือรวมถึงการขอสิทธิ์ของแอปพลิเคชันก่อนติดตั้ง

รายละเอียดเกี่ยวกับแอปพลิเคชันมัลแวร์ที่พบในประเทศไทยและไทยเซิร์ตได้วิเคราะห์ สามารถดูเพิ่มเติมได้จาก

• มัลแวร์แพร่กระจายผ่าน SMS แอบอ้างว่าเป็นรัฐบาลไทย หลอกให้ติดตั้ง Flash Player (https://www.thaicert.or.th/newsbite/2020-05-13-01.html)
• มัลแวร์แพร่กระจายผ่าน SMS แอบอ้างว่าเป็นแอปพลิเคชันไทยชนะ (https://www.thaicert.or.th/newsbite/2020-05-23-01.html)
• มัลแวร์เผยแพร่บน Play Store แอบอ้างว่าเป็นแอปพลิเคชันไทยชนะ (https://www.thaicert.or.th/newsbite/2020-05-28-02.html)