จริง ๆ มีข่าวมาเรื่อย ๆ ว่า Google Play Store มักจะมีแอปที่ฝัง Malware มาค่อนข้างเยอะ และล่าสุดยังค้นพบแอปที่มี Malware ในปี 2019 อีก

นักวิจัยด้านความปลอดภัยจาก Symantec เผยว่า พบแอปที่ปลอมตัวเองให้เหมือนแอปที่เหมือนแอปต้นฉบับ (หรือ official app) อย่างแอป Telegram ปลอม ที่เมื่อดาวน์โหลดลงมาติดตั้งแล้ว เปิดไปจะเจอหน้าเว็บเพจธรรมดาแต่แฝงพร้อมมัลแวร์ชวนขนหัวลุกเลยล่ะ แอปดังกล่าวชื่อว่า MobonoGram 2019 ซึ่งใช้โค้ดซึ่งเป็น Open source ของ Telegram แต่ถูกใส่ Malware เพิ่มเข้ามาก่อนถูกส่งขึ้น Play Store

เมื่อผู้ใช้งานดาวน์โหลดแอปและติดตั้งลงในอุปกรณ์แล้ว มัลแวร์ Android.Fakeyouwon จะเริ่มทำงาน และจะโหลด URL ที่เป็นอันตรายจากเซิร์ฟเวอร์ command-and-control (C&C)

มัลแวร์ตัวนี้ทำงานอย่างไร?

MobonoGram เจาะกลุ่มผู้ใช้งานในอิหร่านและรัสเซีย ซึ่งเดิมสองประเทศนี้แบนแอป Telegram ไปแล้วเรียบร้อย และอีกหนึ่งประเทศคือสหรัฐอเมริกา

นักวิจัยเผยว่าแอปนี้ก็ทำงานเหมือนแอปแชททั่ว ๆ ไป แต่ตัวแอปมีการรันบางอย่างโดยที่ไม่ได้รับการอนุญาตจากเจ้าของเครื่อง และทำงานอย่างลับ ๆ ด้วย นอกจากนี้มันยังมีคุณสมบัติพิเศษที่เรียกว่า persistence mechanism หรือเมื่อเครื่อง (สมาร์ตโฟน) เปิดขึ้นมา แอปนี้จะทำงานทันที และเมื่อเปิดแอปขึ้นมา ตัวแอปจะเข้าถึงเซิร์ฟเวอร์ C&C ที่กำหนดไว้ตั้งแต่แรกเพื่อรับ URL ที่เป็นอันตรายมาลงเครื่อง ซึ่งถึงผู้ใช้งานจะไม่เห็นสิ่งผิดปกติ แต่ระบบนั้นทำงานเป็นที่เรียบร้อยแล้ว

อย่างไรก็ตาม นักวิจัยเผยว่า การเก็บข้อมูลระหว่างเดือน มกราคม-มีนาคม 2019 มีการค้นพบมัลแวร์ที่เกี่ยวข้องกับ Android.Fakeyouwon ถึง 1,235 ครั้ง ในสหรัฐอเมริกา อินเดีย อิหร่าน และ สหรัฐอาหรับเอมิเรตส์

Google Play เป็นแหล่งรวม Malware ชั้นดี

นี่ไม่ใช่ครั้งแรกที่มีการค้นพบมัลแวร์บน Play Store ในช่วงไม่กี่เดือนที่ผ่านมามีการค้นพบแอปที่มีมัลแวร์บน Play Store ซึ่งมากขึ้นเรื่อย ๆ ส่วนหนึ่งเพราะ Android นั้นเป็นระบบเปิด และการทำงานของ Google ซึ่งให้แอปผ่านได้เพราะใช้ระบบตรวจสอบ

มีการค้นพบแอปที่มาพร้อมมัลแวร์ตั้งแต่แอปปลอม เกม แอปเลียนแบบซึ่งจะมีแอดแวร์ติดตั้งบนอุปกรณ์ รวมไปถึงแอปปลอมที่สร้างโฆษณาเพื่อเก็บเงินจากผู้ใช้งานง่าย ๆ อย่างเช่นกรณีแอป Samsung ปลอมที่ระบาดบน Play Store ไปก่อนหน้านี้

ถึงแม้ในปีที่ผ่านมา Google จะพยายามถอดแอปที่เป็นปัญหาถึง 700,000 แอป แต่ด้วยประบวนการของ Google ก็ยังทำให้มีแอปที่แฝงมัลแวร์ยังปรากฏบน Play Store อยู่เรื่อย ๆ

อ้างอิง

 

พิสูจน์อักษร : สุชยา เกษจำรัส