ผู้เชี่ยวชาญจาก ESET เผยแฮกเกอร์จีนใช้แอปแชตปลอมแฝงมัลแวร์สอดแนมผู้ใช้งาน Android ตั้งแต่เดือนกรกฎาคม 2020 เป็นต้นมา
ESET เชื่อว่าผู้อยู่เบื้องหลังคือกลุ่มแฮกเกอร์ที่มีชือเรียกว่า Gref ซึ่งปฏิบัติการสอดคล้องกับกลุ่มอื่นอย่าง APT15, Vixen Panda และ Ke3Chang
แอปที่ Gref ใช้ในการโจมตีเป็นแอปที่ทำเลียนแบบ Signal และ Telegram ด้วยการตั้งชื่ออย่าง Signal Plus Messenger และ FlyGram แฝงไว้ใน Google Play และ Samsung Galaxy Store
แอปเหล่านี้ซ่อนสปายแวร์ที่ชื่อ BabBazaar ซึ่งเป็นตัวเดียวกันที่เคยใช้สอดแนมชาวอุยกูร์ และชนกลุ่มน้อยชาวเตอร์กิกในจีน
การวิเคราะห์ชี้ว่าเป้าหมายของ Greg คือผู้ลี้ภัยชาวอุยกูร์ที่อยู่ในโปแลนด์และเยอรมนีเป็นหลัก แต่ขยายวงไปถึงบราซิลและออสเตรเลียด้วย
วิธีการที่ใช้ลวงเหยื่อให้ดาวน์โหลดแอปปลอมคือการโปรโมตแอปในกลุ่ม Telegram ของชาวอุยกูร์ที่มีเนื้อหาเกี่ยวกับการแลกเปลี่ยนแอป Android
ข้อมูลที่ดูดออกไปจากเหยื่อมีทั้งข้อมูลรายชื่อผู้ติดต่อ บันทึกการโทร รายชื่อบัญชี Google และแอปที่ติดตั้งอยู่ในตัวเครื่อง บางแอปยังขโมย PIN และเชื่อมต่อเครื่องเหยื่อไปหาเครื่องของแฮกเกอร์ด้วย
ทั้งนี้ Google ลบแอปปลอมไปจาก Play Store แล้ว เช่นเดียวกับ Samsung ที่ลบในแพลตฟอร์มของตัวเองแล้วเหมือนกัน
ที่มา inforisktoday
พิสูจน์อักษร : สุชยา เกษจำรัส
