แฮกเกอร์ Android มุ่งเป้าไปที่แอปพลิเคชัน
แฮกเกอร์ Android กำลังมุ่งเป้าไปที่ แอปพลิเคชันมากกว่า 800 รายการ ในภาคธนาคาร สกุลเงินดิจิทัล และโซเชียลมีเดีย บริษัทด้านความปลอดภัยไซเบอร์ Zimperium รายงานว่านักวิจัยของพวกเขาได้ระบุ ครอบครัวมัลแวร์ที่ใช้งานอยู่ 4 ครอบครัว ซึ่งใช้โครงสร้างพื้นฐานการควบคุมและสั่งการที่ทันสมัยเพื่อขโมยข้อมูลประจำตัว ดำเนินการธุรกรรมทางการเงินที่ไม่ได้รับอนุญาต และขโมยข้อมูลในขนาดใหญ่
เทคนิคและกลยุทธ์ของมัลแวร์
โดยรวมแล้ว แคมเปญเหล่านี้มุ่งเป้าไปที่แอปพลิเคชันกว่า 800 รายการ โดยใช้ เทคนิคการต่อต้านการวิเคราะห์ที่ทันสมัย และการดัดแปลง APK โครงสร้าง ครอบครัวเหล่านี้มักจะรักษาอัตราการตรวจจับที่ใกล้ศูนย์ต่อกลไกความปลอดภัยที่ใช้ลายเซ็นแบบดั้งเดิม
ชื่อของครอบครัวมัลแวร์
ชื่อของครอบครัวมัลแวร์ ได้แก่ RecruitRat, SaferRat, Astrinox และ Massiv
วิธีการโจมตี
ผู้โจมตีมักจะพึ่งพา เว็บไซต์ฟิชชิง, ข้อเสนอการจ้างงานที่หลอกลวง, การอัปเดตซอฟต์แวร์ปลอม, การหลอกลวงผ่านข้อความ และการดึงดูดโปรโมชั่นเพื่อโน้มน้าวเหยื่อให้ติดตั้งแอป Android ที่เป็นอันตราย
เมื่อถูกติดตั้งแล้ว มัลแวร์สามารถขอสิทธิ์การเข้าถึง Accessibility, ซ่อนไอคอนแอป, ป้องกันการถอนการติดตั้ง, ขโมย PIN และรหัสผ่านผ่านหน้าจอล็อกปลอม, จับรหัสผ่านแบบใช้ครั้งเดียว, สตรีมหน้าจออุปกรณ์แบบสด และซ้อนทับหน้าล็อกอินปลอมบนแอปธนาคารหรือคริปโตที่ถูกต้อง
“การโจมตีแบบซ้อนทับยังคงเป็นรากฐานของวงจรการเก็บข้อมูลประจำตัว โดยใช้บริการ Accessibility เพื่อตรวจสอบพื้นหน้า มัลแวร์จะตรวจจับช่วงเวลาที่เหยื่อเปิดแอปการเงิน จากนั้นมัลแวร์จะดึงข้อมูล HTML ที่เป็นอันตรายและซ้อนทับลงบนส่วนติดต่อผู้ใช้ของแอปพลิเคชันที่ถูกต้อง สร้างภาพลวงตาที่น่าเชื่อถือและหลอกลวง”
การสื่อสารและการเข้ารหัส
บริษัทกล่าวว่า แคมเปญเหล่านี้ใช้การสื่อสาร HTTPS และ WebSocket เพื่อผสมผสานการจราจรที่เป็นอันตรายกับกิจกรรมแอปปกติ ในขณะที่บางรุ่นเพิ่มชั้นการเข้ารหัสเพิ่มเติมเพื่อหลีกเลี่ยงการตรวจจับ
