ตรวจพบแอปอ่านเอกสาร (ปลอม) หลอกปล่อยมัลแวร์ Anatsa กลาง Play Store

ตรวจพบแอปอ่านเอกสาร (ปลอม) หลอกปล่อยมัลแวร์ Anatsa กลาง Play Store

อย่างอุกอาจ

แอปสโตร์อย่างเป็นทางการของผู้ใช้งานระบบปฏิบัติการ Android อย่าง Google Play Store นั้น จะมีการอวดอ้างถึงความละเอียดลออในการกลั่นกรองแอปพลิเคชันที่จะถูกปล่อยให้ดาวน์โหลดหรือจัดจำหน่ายบนแพลตฟอร์มก็ตาม แต่หลายครั้งแอปพลิเคชันปนมัลแวร์ที่ร้ายแรงก็หลุดมาเยอะมากอย่างไม่น่าเชื่อ ดั่งเช่นบนข่าวนี้

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแอปพลิเคชันอ่านเอกสาร (ปลอม) ที่มีการสอดแทรกมัลแวร์ดูดเงิน หรือ Banking Trojan ชื่อ Anatsa ถูกปล่อยให้ดาวน์โหลดอยู่บนแอปสโตร์อย่างเป็นทางการของระบบ Android อย่าง Google Play Store ซึ่งแอปพลิเคชันอันตรายดังกล่าวนั้น กว่าทาง Google ซึ่งเป็นเจ้าของแอปสโตร์จะรู้ตัว และมาลบทิ้งนั้น ก็มีผู้ดาวน์โหลดไปกว่า 1 หมื่นรายเป็นที่เรียบร้อยแล้ว ซึ่งทางทีมวิจัยจาก Zscaler บริษัทผู้เชี่ยวชาญด้านการป้องกันภัยไซเบอร์ ได้เผยว่าแอปพลิเคชันดังกล่าวนั้นถูกแพร่กระจายภายใต้ชื่อแพ็คเกจว่า com.groundstation.informationcontrol.filestation_browsefiles_readdocs โดยแพ็คเกจนี้สามารถหลบเลี่ยงจากการถูกตรวจจับโดยระบบป้องกันภัยของทาง Play Store และหลบซ่อนแฝงตัวอยู่บนแอปสโตร์ได้เป็นเวลานานพอสมควรเลยทีเดียว

ตัวแอปพลิเคชันดังกล่าวนั้นจะทำหน้าที่เป็นมัลแวร์นกต่อ หรือ Dropper ที่ฉากหน้านั้นจะทำงานเหมือนแอปพลิเคขันอ่านเอกสารทั่วไปไม่มีอะไรผิดเพี้ยน แต่เบื้องหลังนั้น ตัวมัลแวร์จะทำการติดต่อกับเซิร์ฟเวอร์ระยะไกล (Remote Server) เพื่อดาวน์โหลดไฟล์มัลแวร์ (Payload) ของ Anatsa จาก http://23.251.108[.]10:8080/privacy.txt ลงมาบนเครื่องของเหยื่ออย่างเงียบเชียบ ซึ่งการที่ทำวิธีการติดตั้งมัลแวร์แบบ 2 ชั้น (Two-Stages Infection) นั้นก็เป็นไปเพื่อหลบเลี่ยงการตรวจจับจากระบบป้องกันของแอปสโตร์ และระบบป้องกันบนระบบ Android นั่นเอง

โดยหลังจากที่ตัวมัลแวร์สามารถรันบนเครื่องสำเร็จเป็นที่เรียบร้อยแล้ว ตัวมัลแวร์ก็จะทำการหลอกล่อเหยื่อเพื่อให้อนุญาตให้มัลแวร์สามารถใช้งานโหมดสำหรับช่วยเหลือผู้พิการ หรือ Accesibility Mode ซึ่งถ้ามัลแวร์ได้สิทธิ์ในการเข้าถึงเป็นที่เรียบร้อยแล้ว ตัวมัลแวร์ก็จะทำการเข้าถึงสิทธิ์ (Privilege) อื่น ๆ ได้อย่างอัตโนมัติ เช่น สิทธิ์ในการซ้อนหน้าจอ (Overlay) ทับหน้าแอปอื่น ซึ่งจะถูกนำไปใช้ในการขโมยรหัสผ่าน ด้วยการหลอกให้เหยื่อป้อนรหัสผ่านบนหน้าจอซ้อนทับ หรือ Overlay Attack, สิทธิ์ในการเข้าถึง และแทรกแซงบริการข้อความสั้น (SMS หรือ Short Message Service), และการแสดงผลแจ้งเตือน (Alert) แบบเต็มหน้าจอเป็นต้น

นอกจากนั้นตัวมัลแวร์ยังมีความสามารถอื่น ๆ อีกมากมาย เช่น ความสามารถในการหลบซ่อนตัวอยู่บนระบบนั้น ด้วยการซอยแบ่งไฟล์ DEX ไว้ในไฟล์บีบอัดแบบ Zip ที่ถูกทำให้เสีย (Corrupted Zip) ซึ่งไฟล์ดังกล่าวจะถูกรันเฉพาะในช่วงเวลา Runtime และเมื่อใช้เสร็จก็จะถูกลบทิ้งในทันที ทำให้ถูกตรวจจับได้ยาก ทั้งยังมีการใช้วิธีการฝังตัวบนไฟล์สคริปท์แบบ JSON ซึ่งเมื่อทำงานเสร็จก็จะถูกลบทิ้งทันทีเช่นเดียวกัน ไม่เพียงเท่านั้นการส่งข้อมูลทางช่องทางจราจรออนไลน์ (Traffic) ไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ยังถูกเข้ารหัส (Encryption) ด้วยอัลกอริทึมแบบ XOR อีกด้วย โดยเซิร์ฟเวอร์ C2 นั้นถูกตั้งอยู่ที่ http://172.86.91[.]94/api/, http://193.24.123[.]18:85/api/, และ http://162.252.173[.]37:85/api/ โดยหน้าจอแอปพลิเคชันธนาคารที่ถูกใช้ในการโจมตีเหยื่อด้วยการซ้อนทับหน้าจอนั้น ก็จะถูกดาวน์โหลดมาจากเซิร์ฟเวอร์เหล่านี้เมื่อยามที่มัลแวร์ต้องการใช้งาน ไม่เพียงเท่านั้น ตัวมัลแวร์ยังมีระบบป้องกันการถูกกักไว้ในสภาพแวดล้อมจำลอง (Anti-Sandbox) อีกด้วย