บริษัทวิจัยความปลอดภัย Check Point Research รายงานว่ามีการค้นพบมัลแวร์ที่มีชื่อว่า ‘Joker’ ซึ่งนับว่าเป็นหนึ่งในมัลแวร์ที่ร้ายกาจตัวหนึ่งของ Android ซึ่ง Google ได้ถอดแอปพลิเคชันทั้งหมด 11 ตัวออกจาก Play Store เป็นที่เรียบร้อยตั้งแต่วันที่ 30 เมษายนที่ผ่านมา แต่ความเป็นไปได้คือมันอาจจะยังไม่ถูกกำจัดทั้งหมด
แอปพลิเคชัน 11 รายการที่ Google ถอดออกไป
อันที่จริงนี่ไม่ใช่ครั้งแรกกับการปรากฏตัวของมัลแวร์ Joker มัลแวร์ดังกล่าวถูกค้นพบครั้งแรกเมื่อเดือนกันยายน 2019 โดยมันสามารถหลุดรอดจากการตรวจสอบของ Google Play Store ได้โดยการเปลี่ยนแปลงโค้ดของตัวเอง และยังมีการปรากฏตัวใน Play Store อย่างต่อเนื่อง แถมมีการเปลี่ยนรหัสตัวเองเพื่อปิดบังฟังก์ชันที่แน่ชัดของตัวเองด้วย
Check Point Research ระบุว่า มัลแวร์ Joker รุ่นใหม่นี้ใช้เทคนิคเก่าสมัยมัลแวร์ทั่ว ๆ ไปบน PC แต่ถูกปรับแต่งให้ทำงานในรูปแบบของแพลตฟอร์มมือถือเพื่อแทรกซึมเข้าไปใน Google ในเวอร์ชันนี้ Joker จะซ่อนโค้ดที่เป็นอันตรายในไฟล์ Android Manifest ของแอปปกติ โดย Android Manifest คือไฟล์ที่ประกอบไปด้วยข้อมูลพื้นฐานที่จำเป็นของแอปพลิเคชัน เช่น ชื่อ ไอคอน และระบบ Permission, ซึ่งเป็นไฟล์ที่จะต้องได้รับการอนุญาตจากผู้ใช้งานก่อนที่จะรันโค้ดใด ๆ ได้
ด้วยการทำแบบนี้ทำให้ไม่จำเป็นต้องเข้าถึงเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) เพื่อดาวน์โหลด Payload ที่ไม่ปลอดภัยลงมาเนื่องจาก Payload นั้นถูกสร้างไว้ล่วงหน้าและพร้อมใช้งานแล้ว มันทำให้ Joker สามารถผ่านการป้องกันของ Google Play Store ได้อย่างง่ายดาย
Aviran Hazum จาก Check Point Research เผยว่า “เราพบ Joker ซ่อนในไฟล์ที่จำเป็นของแอป Android หลายรายการ การป้องกันของ Google นั้นไม่ปลอดภัยมากพอ แล้วทั้งหมดก็ถูกดาวน์โหลดไปติดตั้งแล้ว ถึงแม้ว่า Google จะลบแอปที่มีความเกี่ยวข้องกับ Joker ไป แต่มันก็อาจจะปรับตัวแล้วกลับมาปรากฏตัวอีกครั้งได้”
รูปแบบการโจมตีของมัลแวร์ Joker คือจะช่วยเราสมัครบริการเสียเงินต่าง ๆ ให้ฟรี แต่เราต้องเสียเงินเอง โดยมันสามารถเข้าถึงข้อความหรือ SMS ภายในเครื่องเพื่อใช้เป็นข้อมูลสำหรับการลงทะเบียนให้อย่างเรียบร้อย หากใครคิดว่าตัวเองไปโหลดแอปแปลก ๆ มาก็อย่าลืมเช็กดูด้วยว่ามีบริการอะไรแปลก ๆ ที่เราไม่ได้สมัครเพิ่มไปก่อนจะเสียเงินฟรีครับ
อ้างอิง ComputerWeekly
พิสูจน์อักษร : สุชยา เกษจำรัส
