ไฟล์ประสงค์ร้ายอย่าง Malware ได้ก้าวไปอีกขั้นด้วยการใช้วิธีโจมตีผ่าน Code Injection แล้ว ล่าสุด The Register เผยว่ามีโทรจันแฝงตัวเข้าเครื่องผู้ใช้งานผ่าน Google Play ไม่ต่ำกว่า 50,000 ครั้งแล้ว
Code Injection
แอพที่ฝังไฟล์อันตรายเหล่านี้มักจะอยู่ในรูปของเกมส์บน Play Store หลายๆ ตัว โดยคาดว่าโทรจัน Dvmap ซ่อนตัวอยู่ในเครื่องที่หลงผิดไปแล้วกว่า 50,000 เครื่อง โดยมันจะแอบติดตั้งโมดูลที่ประสงค์ร้าย และแทรกไฟล์ขโมยข้อมูลเข้ามายังระบบ
กระบวนการจะเริ่มจากนักพัฒนาซอฟท์แวร์ส่งแอพเวอร์ชันปลอดภัยขึ้นไปยัง Google Play ก่อน หลังจากมีผู้ใช้งานติดตั้งถึงจำนวนที่ต้องการแล้วก็ออกอัพเดทเวอร์ชันที่สอดไส้ Malware เอาไว้ช่วงสั้นๆ ก่อนจะอัพเดทอีกครั้งด้วยเวอร์ชันที่ปลอดภัยเพื่อให้ติดตามการทำงานไม่ได้ โดยทาง Kapersky Labs คาดว่าการโจมตีแบบนี้ยังอยู่ในช่วงเริ่มต้น หลังจากนี้จะมีการใช้ลูกเล่นแบบนี้เพิ่มขึ้นอย่างมาก
เมื่อเครื่องติด Malware ไปแล้วระบบจะมองหาสิทธิ์ Root ก่อน ถ้ามีจะฝังไฟล์ payload เอาไว้ แล้วซ่อนตัวทำลายหลักฐานการฝังตัวเข้าระบบ ไม่ว่าจะเป็นการปิดระบบ Google Verify Apps Security หรือช่องโหว่ที่ยังไม่ถูกค้นพบจากนักวิจัยด้านความปลอดภัย
เป้าหมายหลักของ Dvmap ในตอนนี้คือฝังตัวเองเข้าไปในระบบและได้รับสิทธิ์ root ที่สามารถสั่งการมือถือทำอะไรก็ได้ โดยหลักๆ แล้วมันจะแอบโหลดโฆษณาเข้าเครื่อง เพื่อทำรายได้ให้กับคนที่สร้างมันขึ้นมา
การโจมตีแบบ โค้ด อินเจคชั่น นี้จัดว่าอันตรายไม่น้อยในฝั่งมือถือ โดยเฉพาะการสอดแทรก Malware เอาไว้ ทาง Kaspersky เผยกับ The Register ว่าแม้จะปิดสิทธิ์ root หรือลบสิทธิ์ดังกล่าวออกไปแล้วโมดูลของ Malware ก็ยังคงทำงานได้อยู่ แอพกลุ่มธนาคารที่ตรวจหาระบบ root ที่ติดตั้งหลัง Malware เข้าเครื่องไปแล้วจะไม่สามารถตรวจพบการใช้งานระดับ root ได้เลย
Dvmap ถูกตรวจพบครั้งแรกโดย Kaspersky เมื่อเดือนเมษายนที่ผ่านมา และได้รายงานการตรวจพบให้กับ Google แล้ว ผลคือมีแอพจำนวนหนึ่งถูกถอดออกจาก Play Store โดยทาง Kaspersky แนะนำว่าให้ทำการแบคอัพข้อมูล และ Factory Reset โทรศัพท์ซะสำหรับคนที่กังวลในแง่ของความปลอดภัย
ดังนั้นถ้าใครโหลดเกมส์มาจาก Play Store ในช่วง 2 – 3 เดือนที่ผ่านมา และตอนนี้แอพดังกล่าวถูกถอดออกไปจาก Play Store ล่ะก็ เราอาจจะติด Malware ไปแล้วก็เป็นได้
ที่มา – Android Authority
You must be logged in to post a comment.