พบแอปพลิเคชันอันตรายบน Google Play มียอดดาวน์โหลดรวมกว่า 2 ล้านครั้ง

9

นักวิจัยจาก Symantec ได้เปิดเผยถึงแอปพลิเคชันอันตรายกว่า 25 ตัว ซึ่งใช้ไฟล์ Config เพื่อเปลี่ยนตัวเองสู่ความอันตราย ทั้งหมดนี้เพื่อหลีกเลี่ยงการตรวจสอบของ Google Play

1 ใน 25 แอปพลิเคชัน ,credit : Bleepingcomputer

แอปพลิเคชันกว่า 25 รายการที่นักวิจัยค้นพบนี้มีโครงสร้างหน้าตาโค้ดคล้ายๆ กันจึงสันนิษฐานว่าอาจจะมาจากผู้ผลิตรายเดียวกันหรือน่าจะใช้โค้ดพื้นฐานร่วมกัน โดยอยู่ในกลุ่มของแอปแฟชันและเครื่องมือภาพถ่าย

ไอเดียของแอปพลิเคชันอันตรายคือเริ่มแรกจะเข้ามาอย่างปกติทั่วไปที่ดูเหมือนไม่มีอะไร แต่หลังจากนั้นจะคอยแอบอัปเดตConfig File เข้ามาเพิ่มเพื่อ Trigger ความอันตรายจนสุดท้ายนำไปสู่การแสดงเพจโฆษณาเต็มหน้าจอ ทั้งนี้ยังลบ icon เพื่อซ่อนตัวจากผู้ใช้ อย่างไรก็ตามแอปพลิเคชันยังมีการใช้ Initial Vector และกุญแจเข้ารหัสเพื่อทำการ Encode และ Encrypted ส่วนสำคัญของซอร์สโค้ดเพื่อหลบการตรวจจับของโซลูชัน Anti-malware ที่ผู้ใช้งานอาจติดตั้งไว้ด้วย

เคราะห์ดีที่ปัจจุบันทาง Google ได้ทำการลบแอปพลิเคชันข้างตันออกไปแล้วหลังจากนักวิจัยแจ้งเข้าไปเมื่อวันที่ 2 กันยายนที่ผ่านมา ผู้สนใจสามารถติดตามบทวิเคราะห์ฉบับเต็มได้จาก Symantec

IoCs of 25 Apps ,credit : Bleepingcomputer

ที่มา :  https://www.bleepingcomputer.com/news/security/malicious-android-apps-evade-google-play-protect-via-remote-commands/

ที่มา : https://www.techtalkthai.com