Hacker in action with laptophttp://www.twodozendesign.info/i/1.png
ทีมวิจัยจากบริษัท Anomali ได้วิเคราะห์มัลแวร์ใน Android จำนวน 12 รายการ ซึ่งเป็นมัลแวร์ที่แอบอ้างว่าเป็นแอปพลิเคชันของรัฐบาลสำหรับใช้ติดตามการสัมผัสเชื้อ COVID-19 ผลการวิเคราะห์พบข้อมูลน่าสนใจคือบางแอปพลิเคชันนั้นเป็นมัลแวร์สายพันธุ์ Anubis และ SpyNote ซึ่งมีความสามารถในการขโมยข้อมูลทางการเงินและสอดแนมพฤติกรรมการใช้งาน โดยช่องทางการแพร่กระจายมัลแวร์มีทั้งส่งลิงก์ให้ดาวน์โหลดไฟล์ APK จากเว็บไซต์ภายนอก เผยแพร่บน Store อื่น และเผยแพร่บน Play Store ของทาง Google เอง
มัลแวร์ Anubis พบในแอปพลิเคชันปลอมที่แอบอ้างว่าเป็นของรัฐบาลประเทศบราซิลและรัสเซีย ตัวมัลแวร์มีความสามารถในการขโมยข้อมูลทางการเงิน เนื่องจาก Anubis นั้นเป็นมัลแวร์ที่มีขายในตลาดมืด ทำให้ผู้โจมตีอาจไม่จำเป็นต้องมีความรู้ทางเทคนิคมากนัก อาศัยการซื้อมัลแวร์สำเร็จรูปมาปรับแต่งแล้วแพร่กระจายต่อ
มัลแวร์ SpyNote พบในแอปพลิเคชันปลอมที่แอบอ้างว่าเป็นของรัฐบาลประเทศอินเดียและอินโดนีเซีย ตัวมัลแวร์มีความสามารถในการรวบรวมข้อมูลและสอดแนมพฤติกรรมการใช้งาน เนื่องจากตัวมัลแวร์นี้ถูกพัฒนาต่อยอดจากซอร์สโค้ดของมัลแวร์ DroidJack และ OmniRat ที่หลุดออกมาก่อนหน้านี้ จึงทำให้มีฟังก์ชันการทำงานที่ใกล้เคียงกัน
ทั้งนี้ ในรายงานของทาง Anomali ไม่ได้รวมมัลแวร์ที่แพร่ระบาดในประเทศไทย โดยที่ผ่านมาทางไทยเซิร์ตได้ตรวจพบการแพร่กระจายมัลแวร์ใน Android ที่แอบอ้างว่าเป็นแอปพลิเคชันของรัฐบาลไทย โดยส่วนใหญ่เป็นมัลแวร์ประเภทโทรจันและมัลแวร์ Cerberus ซึ่งมีความสามารถในการขโมยข้อมูลทางการเงิน (Cerberus เป็นมัลแวร์สำเร็จรูปที่มีขายในตลาดมืด เช่นเดียวกับ Anubis) ช่องทางการแพร่กระจายมีทั้งการส่ง SMS หลอกให้ดาวน์โหลดไฟล์ APK และเผยแพร่แอปพลิเคชันปลอมบน Play Store
เนื่องจากสถานการณ์การแพร่ระบาดของโรค COVID-19 นั้นมีแนวโน้มที่จะคงอยู่ไปอีกเป็นระยะเวลาหนึ่ง ซึ่งรัฐบาลของหลายประเทศก็ได้พยายามหาวิธีติดตามการแพร่ระบาดของโรค เช่น ใช้แอปพลิเคชันติดตามการสัมผัส (contact tracing) ผู้ประสงค์ร้ายจึงมักฉวยโอกาสนี้ในการหลอกแพร่กระจายมัลแวร์ได้ ในการป้องกันและลดความเสี่ยง ผู้ใช้ควรติดตามข่าวสารจากช่องทางที่น่าเชื่อถือ ดาวน์โหลดแอปพลิเคชันจากแหล่งทางการ และพิจารณาความน่าเชื่อถือรวมถึงการขอสิทธิ์ของแอปพลิเคชันก่อนติดตั้ง
รายละเอียดเกี่ยวกับแอปพลิเคชันมัลแวร์ที่พบในประเทศไทยและไทยเซิร์ตได้วิเคราะห์ สามารถดูเพิ่มเติมได้จาก
- มัลแวร์แพร่กระจายผ่าน SMS แอบอ้างว่าเป็นรัฐบาลไทย หลอกให้ติดตั้ง Flash Player (https://www.thaicert.or.th/newsbite/2020-05-13-01.html)
- มัลแวร์แพร่กระจายผ่าน SMS แอบอ้างว่าเป็นแอปพลิเคชันไทยชนะ (https://www.thaicert.or.th/newsbite/2020-05-23-01.html)
- มัลแวร์เผยแพร่บน Play Store แอบอ้างว่าเป็นแอปพลิเคชันไทยชนะ (https://www.thaicert.or.th/newsbite/2020-05-28-02.html)
———————————————————-
ที่มา : ThaiCERT / 12 มิถุนายน 2563
Link : https://www.thaicert.or.th/newsbite/2020-06-12-01.html#2020-06-12-01
