ມັນແວ (Malware) Xamalicious ໂຕໃໝ່ເທິງລະບົບ Android ຖືກຕິດຕັ້ງຫຼາຍກວ່າ 330,000 ຄັ້ງ ຜ່ານ Google Play

ພົບ​ Android backdoor ທີ່​ຍັງ​ບໍ່​ເຄີຍ​ຖືກຄົ້ນ​ພົບ​ມາ​ກ່ອນ​ ຊື່​ ‘Xamalicious’ ໄດ້​ຖືກ​ຕິດ​ຕັ້ງ​ທີ່​ອຸປະກອນ​ Android ​​ເຖິງ​ 338,300 ເຄື່ອງ​ ຜ່ານ​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ທີ່​ເປັນ​ອັນຕະລາຍ​ຜ່ານ​ Google Play ຊຶ່ງ​ເປັນ​ App Store ຢ່າງ​ເປັນ​ທາງ​ການ​ຂອງລະບົບປະຕິບັດການ​ Android.

ເຫດການ​ນີ້​ຖືກ​ພົບ​ໂດຍ​ສະມາຊິກ​ App Defense Alliance ຂອງ​ McAfee ຊຶ່ງ​ໄດ້​ຄົ້ນ​ພົບ​ແອັບ​ທີ່​ເປັນ​ອັນຕະລາຍ​ 14 ລາຍ​ການ​ເທິງ​ Google Play ຊຶ່ງພົບວ່າ​ມີ​ 3 ແອັບ​ທີ່​​ຕິດ​ຕັ້ງ​​ແລ້ວ​ຫຼາຍກວ່າ​ 100,000 ຄັ້ງ​ ເຖິງ​ແມ່ນ​ວ່າ​ແອັບ​ທີ່​ເປັນ​ອັນຕະລາຍ​ຈະ​ຖືກ​ລຶບ​ອອກ​​ຈາກ​ Google Play ແລ້ວ​ ແຕ່​ກໍ່​ຍັງມີ​ຜູ້​ທີ່​ຕິດ​ຕັ້ງ​ແອັບ​​ແລ້ວ​ຕັ້ງ​ແຕ່ກ​າງ​ ປີ​ 2020 ເຮັດໃຫ້ຍັງ​ມີ​ມັນ​ແວ​ (Malware) Xamalicious ຢູ່​ເທິງ​ໂທລະ​ສັບ​ ຊຶ່ງ​ຈຳ​ເປັນ​ຕ້ອງ​ມີ​ການ​ກວດ​ສອບ​ ແລະ ​ລຶບ​ອອກ​ດ້ວຍ​ຕົນເອງ​.

ແອັບ​ Xamalicious ທີ່​ຖືກ​ຕິດ​ຕັ້ງ​​ຫຼາຍ​ທີ່ສຸດ​ມີ​ດັ່ງ​ຕໍ່ໄປ​ນີ້​:

  • Essential Horoscope for Android ​ຕິດ​ຕັ້ງແລ້ວ​ 100,000 ຄັ້ງ​
  • 3D Skin Editor for PE Minecraft ​ຕິດ​ຕັ້ງແລ້ວ​ 100,000 ຄັ້ງ​
  • Logo Maker Pro ​ຕິດ​ຕັ້ງ​ແລ້ວ 100,000 ຄັ້ງ​
  • Auto Click Repeater ​ຕິດ​ຕັ້ງ​ແລ້ວ 10,000 ຄັ້ງ​
  • Count Easy Calorie ຕິດ​ຕັ້ງແລ້ວ​ 10,000 ຄັ້ງ​
  • Dots: One Line Connector ​ຕິດ​ຕັ້ງ​ແລ້ວ 10,000 ຄັ້ງ​
  • Sound Volume Extender ​ຕິດ​ຕັ້ງແລ້ວ​ 5,000 ຄັ້ງ​

ນອກ​ຈາກ​ນີ້,​ ຍັງລະ​ບຸ​ແອັບ​ທີ່​ເປັນ​ອັນຕະລາຍ​ອີກ​ 12 ລາຍ​ການ ​ທີ່​ມີ​ມັນ​ແວ​​ Xamalicious ຊຶ່ງ​ຍັງ​ບໍ່​ມີ​ສະ​ຖິ​ຕິ​ການ​ດາວ​ໂຫຼດ​ໃນ​ unofficial third-party app stores ທີ່​ຈະ​ແຜ່ກ​ະ​ຈາຍ​ໄປ​ທີ່​ຜູ້​ໃຊ້​ຜ່ານ​ຟາຍ​ APK (ແພັກ​ເກດ​ Android) ທີ່​ດາວ​ໂຫຼດ​ໄດ້​ ຈາກ​ຂໍ້​ມູນ​ທີ່​ໄດ້ຮັບ​ຈາກ​ McAfee ພົບ​ວ່າ​ການ​ຕິດ​ຕັ້ງ​ສ່ວນ​ຫຼາຍ​ ຢູ່​ເທິງ​ອຸປະກອນ​ໃນສະຫະລັດອາເມລິກາ,​ ເຢຍລະມັນ,​ ສະ​ເປນ,​ ອອດສະເຕເລຍ,​ ບ​າ​ຊິວ,​ ແມັກ​ຊິ​ໂກ​ ແລະ​ ອາ​​ເຈນ​ຕິ​ນາ​.

Xamalicious Android backdoorXamalicious ຄື​ Android backdoor ທີ່​ໃຊ້​ພາສາ​ .NET (ໃນ​ຮູບ​ແບບ​ຂອງ​ ‘Core.dll’ ແລະ​ ‘GoogleService.dll’) ພາຍ​ໃນ​ແອັບ​ທີ່​ພັດທະນາ​ໂດຍ​ໃຊ້​ Xamarin framework ແບບ​ open-source ເຮັດໃຫ້​ການ​ວິ​ເຄາະ​ໂຄ້ດ (Code) ​ມີ​ຄວາມ​ຍາກ​ຫຼາຍ​ຂຶ້ນ​ ຊຶ່ງ​ເມື່ອ​ຕິດ​ຕັ້ງ​ແອັບ​ ລະບົບ​ຈະ​ຂໍ​ການ​ເຂົ້າ​ເຖິງ​ Accessibility Service ຊຶ່ງ​ເຮັດໃຫ້​ສາມາດ​ໃຊ້​ສິດ​ພິເສດ​ໄດ້​ ເຊັ່ນ​: navigation gestures, ເຊື່ອງ​ອົງ​​ປະກອບ​ເທິງ​ໜ້າດຈໍ​ ແລະ​ໃຫ້​ສິດ​ເພີ່ມຕື່ມ​ແກ່​ໂຕມັນ​ເອງ​.

ພາຍຫຼັງ​ການ​ຕິດ​ຕັ້ງ​ ມັນ​ແວ​​ຈະ​ສື່​ສານ​ກັບ​ C2 (command and control) server ເພື່ອ​ດຶງ​ຂໍ້​ມູນ​ເພ​​ໂຫຼດ​ (Payload) DLL (cache.bin) ສຳລັບ​ຂັ້ນ​ຕອນ​ທີ່​ສອງ​ຂອງ​ການ​ໂຈມ​ຕີ​ ຖ້າຫາກ​ເຄື່ອງ​ທີ່​ຖືກ​ໂຈມ​ຕີ​ກົງ​ຕາມ​ທີ່​ກຳນົດ​ ເຊັ່ນ​: geographical, network, device configuration ແລະ​ root status.

Xamalicious malware ມີ​ຄວາມ​ສາມາດ​ໃນ​ການ​ຣັນ (Run) ​ຄຳ​ສັ່ງ​ດັ່ງ​ນີ້​ :

  • DevInfo: ສັງລວມ​ຂໍ້​ມູນ​ອຸປະກອນ​ ແລະ ​ຮາ​ດ​ແວ​​ ລວມເຖິງ​ Android ID, ແບນ​, CPU, ລຸ້ນ​, ເວີ​​ຊັ່ນ​ລະບົບ​ປະຕິບັດການ​, ພາສາ​, ສະ​ຖາ​ນະ​ developer options, ລາຍ​ລະອຽດ​ SIM ແລະ ​ເ​ຟິ​ມ​ແວ​ (Firmware);
  • GeoInfo: ກຳນົດ​ຕຳແໜ່ງ​ geographic location ຂອງ​ອຸປະກອນ​ໂດຍ​ໃຊ້​ IP address, ຂໍ້​ມູນ​ຊື່​ ISP, ອົງ​ກອນ​, services ແລະ​ fraud score ເພື່ອ​ກວດ​ສອບ​ຜູ້​ໃຊ້​;
  • EmuInfo: ສະແດງ​ລາຍ​ການ​ adbProperties ເພື່ອ​ກວດ​ສອບ​ວ່າ​ Client ເປັນ​ອຸປະກອນ​ຈິງ​ ຫຼື ​ໂປຣ​ແກຣມ​ຈຳ​ລອງ​, ກວດ​ສອບ​ CPU, ໜ່ວຍ​ຄວາມ​ຈຳ​, ເຊັນ​ເຊີ​ (Sensor)​, ການ​ກຳນົດ​ຄ່າ​ USB ແລະ ​ສ​ະຖາ​ນະ​ ADB;
  • RootInfo: ລະ​ບຸ​ວ່າ​ອຸປະກອນ​ຖືກ​ Root ໂດຍ​ໃຊ້​ວິທີ​ການ​ຕ່າງ​ໆ​ ແລະ ​ລະ​ບຸ​ສ​ະຖາ​ນະ​ວ່າ​ມີ​ການ​ Root ​ຫຼື ​ບໍ່​;
  • Packages: ສະແດງ​ລາຍ​ການ​ລະບົບ​ ແລະ​ third-party apps ທັງ​ໝົດ​ທີ່​ຕິດ​ຕັ້ງ​ເທິງ​ອຸປະກອນ​ໂດຍ​ໃຊ້​ system commands;
  • Accessibility: ລາຍ​ງານ​ສະ​ຖາ​ນະ​ຂອງ​ accessibility services permissions;
  • GetURL:​ Requests ເພ​ໂຫຼດ​ຂັ້ນ​ຕອນ​ທີ່​ສອງ​ຈາກ​ C2 server ໂດຍ​ລະ​ບຸ​ Android ID ແລະ ​ຮັບ​ status ແລະ ​ອາດ​ຈະເປັນ​ການ​ເລີ່ມ​ເຮັດວຽກ​ຂອງ​ encrypted assembly DLL.

ລວມ​ເຖິງ​ McAfee ຍັງ​ພົບ​ການ​ເຊື່ອມ​ໂຍງ​ລະຫວ່າງ​ Xamalicious ແລະ ​ແອັບ​ໂຄສະນາ​ ad-fraud app ທີ່​ເອີ້ນວ່າ​ ‘Cash Magnet’ ຊຶ່ງ​ຈະ​ກົດເຂົ້າ​ໂຄສະ​ນາ​ໂດຍ​ອັດ​ໂນ​ມັ​ດ ແລະ ​ຕິດ​ຕັ້ງ​ adware ເທິງ​ອຸປະກອນ​ຂອງ​ເຫຍື່ອ​ເພື່ອ​ສ້າງ​ລາຍ​ໄດ້​ໃຫ້​ກັບ​ຜູ້​ໃຫ້​ບໍລິການ​ ຈຶ່ງ​ມີ​ຄວາມ​ເປັນ​ໄປ​ໄດ້​ວ່າ​ Xamalicious ຈະໂຈມ​ຕີ​ຜ່ານ​ ad-fraud app ທີ່​ຕິດ​ຕັ້ງ​ເທິງ​ເຄື່ອງ​ເປົ້າ​ໝາຍ​ ສົ່ງ​ຜົນ​ໃຫ້​ປະ​ສິດ​ທິ​ພາບ​ຂອງ​ Processor​ ແລະ ​ແບນ​​ວິດ​ເຄືອ​ຂ່າຍ​ຫຼຸດລົງ.​

ເຖິງ​ແມ​່ນວ່າ​ Google Play ຈະ​ຍັງມີ​ຄວາມ​ສ່ຽງ​ຕໍ່​ການ​ອັບ​ໂຫຼດ​ມັນ​ແວ​​ແອັບ​ ແຕ່​ກໍ່​ໄດ້​​ລິ​ເລີ່ມ​ໂຄງ​ການ​ App Defense Alliance ທີ່​ມີ​ເປົ້າ​ໝາຍ​ເພື່ອ​ກວດ​ຈັບ​ ແລະ ​ລຶບໄ​ພຄຸກ​ຄາມ​ໃໝ່​ໆ​ ທີ່​ປະກົດ​ເທິງ​ App Store. ດັ່ງ​ນັ້ນ, ​ຜູ້​ໃຊ້​ Android ຄວນ​ຫຼີກ​ລ້ຽງ​ການ​ດາວ​ໂຫຼດ​ແອັບ​ຈາກ​ third-party ແລະ​ ດາວ​​ໂຫຼດ​ສະເພາະ​ແອັບ​ທີ່​ຈຳ​ເປັນ​ຕ້ອງ​ໃຊ້​ງານ​ເທົ່າ​ນັ້ນ​.

ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/new-xamalicious-android-malware-installed-330k-times-on-google-play/
  2. https://www.i-secure.co.th/2024/01/%e0%b8%a1%e0%b8%b1%e0%b8%a5%e0%b9%81%e0%b8%a7%e0%b8%a3%e0%b9%8c-xamalicious-%e0%b8%95%e0%b8%b1%e0%b8%a7%e0%b9%83%e0%b8%ab%e0%b8%a1%e0%b9%88%e0%b8%9a%e0%b8%99-android-%e0%b8%96%e0%b8%b9%e0%b8%81/
578 Views