Header Ads

ระวัง EventBot มัลแวร์ตัวใหม่บน Android เน้นโจมตีแอป mobile banking เพื่อขโมย ID และ รหัส



ระวัง EventBot มัลแวร์ตัวใหม่บน Android เน้นโจมตีแอป mobile banking เพื่อขโมย ID และ รหัส

ระวัง EventBot มัลแวร์ตัวใหม่บน Android เน้นโจมตีแอป mobile banking เพื่อขโมย ID และ รหัส

มีการตรวจพบมัลแวร์ตัวใหม่ของ mobile banking ซึ่งเป็นการใช้คุณสมบัติต่างๆของระบบปฏิบัติการ Android ในทางที่ผิด เช่น การเข้าไปเอาข้อมูลสำคัญจากแอปฯการเงิน, อ่านข้อความ SMS และจี้/ยึดครองเครื่องนั้นๆ ที่ใช้ยืนยันตัวตน 2 ปัจจัยที่รอรหัสส่งมาในรูปแบบ SMS
มัลแวร์ตัวนี้ถูกเรียกว่า EventBot โดย Cybereason researchers มีเป้าหมายเป็นแอปฯทางการเงินกว่า 200 ตัว เช่น แอปธนาคาร บริการโอนเงิน และแอปที่เป็น wallet ของค่าเงินคริปโต ยกตัวอย่างแอปดังต่อไปนี้ เช่น Paypal Business, Revolut, Barclays, CapitalOne, HSBC, Santander, TransferWise และ Coinbase เป็นต้น
นักวิจัยพูดถึงมัลแวร์ EvenBot ว่ามันเป็นอะไรที่น่าสนใจเพราะมันยังอยู่ในช่วง early stage หรือระยะแรกอยู่แต่ดูแล้วมีศักยภาพสูงที่จะพัฒนาขึ้นไปเป็นมัลแวร์ที่อันตรายมากขึ้นต่อไปได้
มัลแวร์ตัวนี้ เพิ่งถูกพบครั้งแรกในเดือนมีนาคม 2020 โดยแฝงตัวมาเป็นแอปที่ถูกกฎหมาย (เช่น Adobe Flash หรือ Microsoft Word เป็นต้น) แต่ปิดบังเจตนาร้ายเอาไว้ เมื่อ install ลงเครื่องแล้ว มันจะขอสิทธิ์ต่างๆ มากมายบนอุปกรณ์นั้นๆ โดยสิทธิ์ที่ถูกขอรวมถึงการตั้งค่าการเข้าถึง, ความสามารถในการอ่านจากตัวเก็บข้อมูลภายนอก (external storage), สามารถส่งและรับ SMS, รันโปรแกรมแบ็คกราวน์ และเปิดตัวมันเองได้หลังจากที่บูสต์ระบบขึ้น/เปิดเครื่องแล้ว
EventBot malware

เมื่อผู้ใช้งานให้สิทธิ์การเข้าถึงแล้ว มัลแวร์ EventBot จะทำตัวเป็น Keylogger หรือโปรแกรมที่จดจำว่าผู้ใช้งานกด/พิมพ์อะไรไปบ้าง โดยจะเก็บทั้ง ID และรหัสผ่าน รวมถึงสามารถดึงการแจ้งเตือนของแอปต่างๆ ที่ติดตั้งและเนื้อหาของหน้าต่างที่เปิดใช้งานอยู่ได้ นอกเหนือจากนี้ ยังใช้ประโยชน์จากการเข้าถึงระบบ Android โดยการฉกเอารหัสปลดล็อคหน้า lockscreen แล้วส่งข้อมูลที่เก็บรวบรวมทั้งหมดในรูปแบบที่เข้ารหัสไปยังเซิร์ฟเวอร์ที่ควบคุมโดยแฮคเกอร์ที่เป็นคนโจมตีระบบ
มันยังมีความสามารถฉกรหัสจาก SMS ที่ส่งมาเพื่อกรอกยืนยันตัวตนเข้าแอปต่างๆ เช่น แอปธนาคาร แอปที่เก็บเงินคริปโต แล้วเข้าไปขโมยเงินในบัญชีนั้นๆได้
แต่ EventBot จะมากับแอปที่อยู่นอก Store หรือเว็บที่ให้โหลด APK เอง ดังนั้นผู้ใช้งานที่ลงแอปจากสโตร์ที่ปลอดภัย เช่น Google Play Store (ด้วยความที่มันมาทาง Android)  ก็น่าจะเบาใจไปได้ระดับนึง
แนะนำว่าให้หลีกเลี่ยงการลงแอปจากแหล่งที่ไม่น่าเชื่อถือ, เลือกลงแอปจาก Store ทางการต่างๆ น่าจะปลอดภัยกับผู้ใช้งานกว่า, อัพเดตซอร์ฟแวร์สม่ำเสมอ และเปิด Google Play Protect เอาไว้
ที่มา : The Hacker News


ไม่มีความคิดเห็น