เจออีก! แอปอันตราย คอยบันทึกหน้าจอมือถือแล้วขโมยข้อมูลธนาคารเราได้ ถูกพบให้ดาวน์โหลดอยู่บน Google Play Store แถมมียอดดาวน์โหลดปาเข้าไปนับ 100,000 รายแล้วด้วย เตือนให้ระวังอย่าหลงไปติดตั้ง หรือถ้ามีในเครื่องรีบลบออกด๋วนจี๋ก่อนโดนขโมยข้อมูลสำคัญครับ

รายงานนี้มาจาก ThreatFabric ที่พบแอปพวกนี้ปลอมตัวเป็นแอปคอยช่วยบันทึกรายรับรายจ่าย หรือปลอมเป็นแอปช่วยเหลือทั่วไปอย่างการจัดการไฟล์ (File Manager) เพื่อหลอกให้ผู้ใช้งานดาวน์โหลดมาไว้บนเครื่อง ซึ่งก็คงจะหลอกได้เนียนไม่น้อยเพราะยอดดาวน์โหลดรวมกันแล้วทะลุแสนครั้งไปเรียบร้อย

และแม้ Google Play จะมีระบบคัดกรองไม่ให้แอปอันตรายแบบนี้ถูกจัดวางปล่อยให้โหลดกัน แต่ช่วงนี้ดูเหมือนจะมีคนเจอช่องทางหลุดรอดเข้าไปได้อยู่ดี โดยมีวิธีการส่งแอปปกติไปให้กูเกิลตรวจสอบ แล้วหลังจากนั้นค่อยใช้วิธี malware dropper แอบอัปเดตจากภายในตัวแอปให้มีโค้ดอันตรายเอาทีหลัง

ThreatFabric ยังระบุอีกว่าวิธีส่งมัลแวร์หรือไวรัสคอมพิวเตอร์แบบนี้กำลังฮิตมากขึ้นเรื่อย ๆ เห็นได้จากข่าวเตือนแอปอันตรายก่อนหน้าที่ใช้รูปแบบเดียวกันเลย

แอป 5 ตัวที่แฝงไปด้วยมัลแวร์ขโมยข้อมูลผู้ใช้

  • Codice Fiscale 2022 โดย WizDrostek – ยอดดาวน์โหลด 10,000 ครั้ง
  • File Manager Small, Lite โดย – ยอดดาวน์โหลด 1,000 ครั้ง
  • Recover Audio, Images & Videos โดย xed Tech – ยอดดาวน์โหลด 100,000 ครั้ง
  • Zetter Authentication โดย urbanTechnologies – ยอดดาวน์โหลด 10,000 ครั้ง
  • My Finances Tracker โดย Dijitality Solutions – ยอดดาวน์โหลด 1,000 ครั้ง

หากใครคุ้นหน้าคุ้นตา เคยเจอแอปพวกนี้ในมือถืออุปกรณ์ของตัวเองหรือคนรู้จัก ให้รีบไปจัดการลบแอปทันที เพื่อไม่ให้มีโอกาสโจมตีขโมยข้อมูลอะไรได้มากกว่านี้ครับ แต่จากตอนนี้ที่เค้าไปค้นหาดูพบว่าแอปเหล่านี้อาจถูกถอดออกจาก Play Store แล้ว (หรือไม่ก็มีชื่อที่ซ้ำซากมาก ๆ ยากเกินจะหาเจอ)

แอปเหล่านี้ขโมยข้อมูลเราได้อย่างไร?

Codice Fiscale 2022 เป็นแอปที่สร้างมาหลอกว่าจะช่วยคำนวณภาษี ส่วนแอป File Manager Small, Lite ก็ทำตัวเป็นแอปช่วยจัดการไฟล์ทั่วไป แต่ทั้งคู่พอติดตั้งลงเครื่องแล้ว จะทำการอัปเดตไวรัสโทรจัน SharkBot เข้ามาในเครื่องอุปกรณ์ Android ของเราครับ

SharkBot และ Vultur คืออะไร

SharkBot เป็นโปรแกรมโทรจัน (Trojan) ที่จะเปิดหน้าล็อกอินปลอมขึ้นมาเพื่อขโมยข้อมูลชื่อและรหัสจากผู้ใช้งาน ก่อนหน้านี้ได้ขโมยข้อมูลไปแล้วจากลูกค้า PayPal และบริการธนาคารอื่น ๆ แถมยังมีความร้ายสามารถขโมยรหัสยืนยันตัวตน 2FA ที่ปกติจะถูกส่งมาผ่านข้อความ SMS สามารถบันทึกการพิมพ์คีย์บอร์ดของเรา แล้วก็ควบคุมเครื่องได้จากที่ไกลด้วย แสบมาก ๆ

โดยทั้งสองแอป Codice Fiscale 2022 และ File Manager Small, Lite จะแอปติดตั้ง SharkBot โดยการส่งแจ้งเตือนให้แอปเดตแอปแบบปลอม ๆ ที่พอกดแล้วจะพาไปหน้าเว็บทำออกมาคล้าย Google Play Store ให้กดดาวน์โหลดแอปเวอร์ชันอันตรายเข้าไป

ส่วนแอป Recover Audio, Images & Videos, Zetter Authentication, และ My Finances Tracker ก็มีหลักการทำงานคล้ายกัน เพียงแต่เปลี่ยนไปใช้มัลแวร์ Vultur แทน SharkBot ที่จะใช้ระบบแชร์หน้าจอและการพิมพ์คีย์บอร์ด เพื่อส่งกลับไปให้มิจฉาชีพเอาข้อมูลไปใช้ต่ออีกที

ซึ่งทั้งสามแอปก็ใช้กลลวง ส่งแจ้งเตือนให้ผู้ใช้หลงอัปเดตโปรแกรมผ่านหน้า Play Store ปลอม ทำให้ได้แอปเวอร์ชันที่มีมัลแวร์แฝงอยู่ข้างในไปนั่นเอง และยังพบว่ามัลแวร์ Vultur เวอร์ชันใหม่สามารถบันทึกข้อมูลได้มากกว่าเดิม อย่างการบันทึกหน้า UI บันทึกคลิ๊ก สัมผัส และ Gesture ต่าง ๆ ที่ผู้ติดตั้งได้ใช้งานไป

วิธีป้องกันตัวจากแอปอันตราย

แอปเหล่านี้มีวิธีการนำมัลแวร์เข้าเครื่องของเรา ผ่านการหลอกให้ดาวน์โหลดแอปเข้ามาจากหน้าเว็บปลอม ดังนั้นต้องระวังเวลามีแจ้งเตือนให้อัปเดตแอป ควรสังเกตุให้ดีว่าเป็นการแจ้งเตือนโดยตรงจาก Play Store หรือไม่ และอย่าได้กดดาวน์โหลดเวลาแอปพาไปยังลิงก์ข้างนอกเด็ดขาด และต้องสังเกตุหน้าเว็บ ว่าตัว URL มีความผิดแปลกอะไรไปหรือเปล่า ทางที่ดี ควรกดอัปเดตแอปผ่านตัว Play Store อย่างเป็นทางการเท่านั้น เพราะจะได้รับการตรวจสอบมาจาก Google แล้วนั่นเอง

นอกจากนี้ยังสามารถตั้งค่าให้มือถือไม่สามารถติดตั้งโปรแกรมนอกร้านค้าทางการได้ ซึ่งจะห้ามไม่ให้เราโดนหลอกติดตั้งแอปจากเว็บปลอมได้ ทางที่ดีควรเปิดทิ้งเอาไว้เสมอนะ เพื่อความปลอดภัยของตัวเราเองครับ

หน้าอัปเดตแอปใน Google Play Store

รีบลบด่วน! พบแอปมัลแวร์ยอดดาวน์โหลด 1,000,000 ครั้ง แฝงตัวเนียนอยู่บน Google Play Store

 

ที่มา :  threatfabric, tomsguide