xs
xsm
sm
md
lg

เตือนภัย Mandrake สปายแวร์โผล่ Google Play หลอกเป็นแอปสกุลเงินดิจิทัลถูกกฎหมาย

เผยแพร่:   ปรับปรุง:   โดย: ผู้จัดการออนไลน์



แคสเปอร์สกี้ (Kaspersky) ประกาศพบสปายแวร์ "แมนเดรก" (Mandrake) รีเทิร์น ใช้กลหลอกเป็นแอปถูกกฎหมายและเปิดให้โหลดบนร้านกูเกิลเพลย์ (Google Play) กว่า 2 ปีจนมียอดดาวน์โหลด 32,000 ครั้ง ระบุมีฟีเจอร์และเทคนิคการหลบเลี่ยงขั้นสูง ทำให้ผู้ให้บริการรักษาความปลอดภัยไม่สามารถตรวจพบแอปพลิเคชันเหล่านี้ได้

น.ส.แทตยาน่า ชิชโกวา หัวหน้านักวิจัยความปลอดภัยของทีม GReAT (Global Research and Analysis Team) แคสเปอร์สกี้ กล่าวว่าการพบสปายแวร์ Mandrake สะท้อนถึงแนวโน้มที่น่าวิตกกังวล เนื่องจากแม้ Google Play จะมีข้อจำกัดที่เข้มงวดยิ่งขึ้นและการตรวจสอบความปลอดภัยมีความเข้มงวดมากขึ้น แต่ความซับซ้อนของภัยคุกคามที่แทรกซึมเข้ามาในแอปสโตร์ยังเพิ่มขึ้น ขณะเดียวกัน การตรวจจับยังทำได้ยากขึ้น

"หลังจากหลบเลี่ยงการตรวจจับเป็นเวลา 4 ปีในเวอร์ชันเริ่มต้น แคมเปญ Mandrake ล่าสุดยังคงไม่ถูกตรวจพบบน Google Play เป็นเวลา 2 ปี ซึ่งแสดงให้เห็นถึงทักษะขั้นสูงของผู้ก่อภัยคุกคามที่เกี่ยวข้อง”

สำหรับ Mandrake นั้นเป็นสปายแวร์ที่ค้นพบครั้งแรกในปี 2020 นิยามในเวลานั้นคือแพลตฟอร์มจารกรรมระบบแอนดรอยด์ที่ซับซ้อนและดำเนินงานมาตั้งแต่ปี 2016 เป็นอย่างน้อย ในเดือนเมษายน 2024 นักวิจัยของแคสเปอร์สกี้ได้ค้นพบตัวอย่างที่น่าสงสัย ซึ่งบ่งชี้ว่าเป็น Mandrake เวอร์ชันใหม่ที่มีฟังก์ชันการทำงานที่ได้รับการปรับปรุง และมีเทคนิคการบดบังและหลีกเลี่ยงขั้นสูง

ในเชิงเทคนิค Mandrake รุ่นใหม่มีการเปลี่ยนฟังก์ชันที่เป็นอันตรายไปยังไลบรารีเนทีฟที่ปิดบังโดยใช้ OLLVM การใช้ใบรับรองสำหรับการสื่อสารที่ปลอดภัยกับเซิร์ฟเวอร์คำสั่งและการควบคุม (command and control - C2) และการดำเนินการตรวจสอบอย่างละเอียดเพื่อตรวจจับว่า Mandrake กำลังทำงานบนอุปกรณ์ที่รูท หรือภายในสภาพแวดล้อมจำลอง

อีกคุณสมบัติที่โดดเด่นของ Mandrake เวอร์ชันใหม่คือการเพิ่มเทคนิคปิดบังขั้นสูงที่ออกแบบมาเพื่อข้ามการตรวจสอบความปลอดภัยของ Google Play และขัดขวางการวิเคราะห์ ผู้เชี่ยวชาญของแคสเปอร์สกี้ระบุแอปพลิเคชัน 5 แอปที่มีสปายแวร์ Mandrake ซึ่งมียอดดาวน์โหลดรวมกันมากกว่า 32,000 ครั้ง แอปเหล่านี้เผยแพร่บน Google Play ในปี 2022 พร้อมให้ดาวน์โหลดอย่างน้อย 1 ปี แอปเหล่านี้เปิดตัวในรูปแบบแอปแชร์ไฟล์ผ่าน Wi-Fi แอปบริการดาราศาสตร์ แอป Amber สำหรับเกม Genshin แอปสกุลเงินดิจิทัล และแอปที่มีเกมปริศนา จนถึงเดือนกรกฎาคม 2024 ตามข้อมูลของ VirusTotal ยังไม่มีแอปใดที่ถูกตรวจพบว่าเป็นมัลแวร์โดยผู้จำหน่ายใดๆ

ตัวอย่างแอปพลิเคชันแฝง Mandrake ที่เป็นอันตราย ซึ่งไม่อยู่ใน Google Play แล้ว
แม้ว่าแอปพลิเคชันที่เป็นอันตรายเหล่านี้จะไม่อยู่ใน Google Play แล้ว แต่แอปพลิเคชันเหล่านี้เคยเปิดให้ดาวน์โหลดในหลายประเทศ โดยการดาวน์โหลดส่วนใหญ่อยู่ในแคนาดา เยอรมนี อิตาลี เม็กซิโก สเปน เปรู และสหราชอาณาจักร

เมื่อพิจารณาถึงความคล้ายคลึงกันของแคมเปญปัจจุบันและแคมเปญก่อนหน้ากับโดเมน C2 ที่จดทะเบียนในรัสเซีย แคสเปอร์สกี้สันนิษฐานด้วยความมั่นใจสูงว่า ผู้ก่อภัยคุกคามจะเป็นรายเดียวกับที่ระบุไว้ในรายงานการตรวจจับครั้งแรกของ Bitdefender

คำแนะนำจากผู้เชี่ยวชาญของแคสเปอร์สกี้เพื่อความปลอดภัยจากภัยคุกคามอย่างสปายแวร์ Mandrake คือการใช้ Marketplace ที่เป็นทางการ โดยผู้ใช้ควรดาวน์โหลดแอปและซอฟต์แวร์จากแหล่งที่เชื่อถือได้และเป็นทางการ หลีกเลี่ยงแอปสโตร์ของเธิร์ดปาร์ตี้ เนื่องจากมีความเสี่ยงสูงที่แอปและซอฟต์แวร์ดังกล่าวอาจโฮสต์ได้ แม้แต่แพลตฟอร์มที่เป็นทางการก็อาจโฮสต์แอปที่เป็นอันตรายได้ ควรตรวจสอบรีวิวและคะแนนก่อนดาวน์โหลดเสมอ

นอกจากนี้ ควรใช้ซอฟต์แวร์รักษาความปลอดภัยที่มีชื่อเสียง หมั่นติดตั้งและบำรุงรักษาซอฟต์แวร์ป้องกันไวรัสและแอนตี้มัลแวร์ที่มีชื่อเสียงบนอุปกรณ์ เช่น Kaspersky Premium คู่กับการเรียนรู้เพิ่มเติมเรื่องกลโกงหลอกลวง ทั้งคอยติดตามข้อมูลเกี่ยวกับภัยคุกคามทางไซเบอร์ เทคนิค และกลวิธีล่าสุด และระวังคำขอและข้อเสนอที่น่าสงสัย หรือคำขอข้อมูลส่วนบุคคลหรือข้อมูลทางการเงินที่ไม่น่าไว้ใจ


กำลังโหลดความคิดเห็น