ພົບ Android backdoor ທີ່ຍັງບໍ່ເຄີຍຖືກຄົ້ນພົບມາກ່ອນ ຊື່ ‘Xamalicious’ ໄດ້ຖືກຕິດຕັ້ງທີ່ອຸປະກອນ Android ເຖິງ 338,300 ເຄື່ອງ ຜ່ານແອັບພິເຄຊັ່ນທີ່ເປັນອັນຕະລາຍຜ່ານ Google Play ຊຶ່ງເປັນ App Store ຢ່າງເປັນທາງການຂອງລະບົບປະຕິບັດການ Android.
ເຫດການນີ້ຖືກພົບໂດຍສະມາຊິກ App Defense Alliance ຂອງ McAfee ຊຶ່ງໄດ້ຄົ້ນພົບແອັບທີ່ເປັນອັນຕະລາຍ 14 ລາຍການເທິງ Google Play ຊຶ່ງພົບວ່າມີ 3 ແອັບທີ່ຕິດຕັ້ງແລ້ວຫຼາຍກວ່າ 100,000 ຄັ້ງ ເຖິງແມ່ນວ່າແອັບທີ່ເປັນອັນຕະລາຍຈະຖືກລຶບອອກຈາກ Google Play ແລ້ວ ແຕ່ກໍ່ຍັງມີຜູ້ທີ່ຕິດຕັ້ງແອັບແລ້ວຕັ້ງແຕ່ກາງ ປີ 2020 ເຮັດໃຫ້ຍັງມີມັນແວ (Malware) Xamalicious ຢູ່ເທິງໂທລະສັບ ຊຶ່ງຈຳເປັນຕ້ອງມີການກວດສອບ ແລະ ລຶບອອກດ້ວຍຕົນເອງ.
ແອັບ Xamalicious ທີ່ຖືກຕິດຕັ້ງຫຼາຍທີ່ສຸດມີດັ່ງຕໍ່ໄປນີ້:
- Essential Horoscope for Android ຕິດຕັ້ງແລ້ວ 100,000 ຄັ້ງ
- 3D Skin Editor for PE Minecraft ຕິດຕັ້ງແລ້ວ 100,000 ຄັ້ງ
- Logo Maker Pro ຕິດຕັ້ງແລ້ວ 100,000 ຄັ້ງ
- Auto Click Repeater ຕິດຕັ້ງແລ້ວ 10,000 ຄັ້ງ
- Count Easy Calorie ຕິດຕັ້ງແລ້ວ 10,000 ຄັ້ງ
- Dots: One Line Connector ຕິດຕັ້ງແລ້ວ 10,000 ຄັ້ງ
- Sound Volume Extender ຕິດຕັ້ງແລ້ວ 5,000 ຄັ້ງ
ນອກຈາກນີ້, ຍັງລະບຸແອັບທີ່ເປັນອັນຕະລາຍອີກ 12 ລາຍການ ທີ່ມີມັນແວ Xamalicious ຊຶ່ງຍັງບໍ່ມີສະຖິຕິການດາວໂຫຼດໃນ unofficial third-party app stores ທີ່ຈະແຜ່ກະຈາຍໄປທີ່ຜູ້ໃຊ້ຜ່ານຟາຍ APK (ແພັກເກດ Android) ທີ່ດາວໂຫຼດໄດ້ ຈາກຂໍ້ມູນທີ່ໄດ້ຮັບຈາກ McAfee ພົບວ່າການຕິດຕັ້ງສ່ວນຫຼາຍ ຢູ່ເທິງອຸປະກອນໃນສະຫະລັດອາເມລິກາ, ເຢຍລະມັນ, ສະເປນ, ອອດສະເຕເລຍ, ບາຊິວ, ແມັກຊິໂກ ແລະ ອາເຈນຕິນາ.

Xamalicious Android backdoorXamalicious ຄື Android backdoor ທີ່ໃຊ້ພາສາ .NET (ໃນຮູບແບບຂອງ ‘Core.dll’ ແລະ ‘GoogleService.dll’) ພາຍໃນແອັບທີ່ພັດທະນາໂດຍໃຊ້ Xamarin framework ແບບ open-source ເຮັດໃຫ້ການວິເຄາະໂຄ້ດ (Code) ມີຄວາມຍາກຫຼາຍຂຶ້ນ ຊຶ່ງເມື່ອຕິດຕັ້ງແອັບ ລະບົບຈະຂໍການເຂົ້າເຖິງ Accessibility Service ຊຶ່ງເຮັດໃຫ້ສາມາດໃຊ້ສິດພິເສດໄດ້ ເຊັ່ນ: navigation gestures, ເຊື່ອງອົງປະກອບເທິງໜ້າດຈໍ ແລະໃຫ້ສິດເພີ່ມຕື່ມແກ່ໂຕມັນເອງ.

ພາຍຫຼັງການຕິດຕັ້ງ ມັນແວຈະສື່ສານກັບ C2 (command and control) server ເພື່ອດຶງຂໍ້ມູນເພໂຫຼດ (Payload) DLL (cache.bin) ສຳລັບຂັ້ນຕອນທີ່ສອງຂອງການໂຈມຕີ ຖ້າຫາກເຄື່ອງທີ່ຖືກໂຈມຕີກົງຕາມທີ່ກຳນົດ ເຊັ່ນ: geographical, network, device configuration ແລະ root status.

Xamalicious malware ມີຄວາມສາມາດໃນການຣັນ (Run) ຄຳສັ່ງດັ່ງນີ້ :
- DevInfo: ສັງລວມຂໍ້ມູນອຸປະກອນ ແລະ ຮາດແວ ລວມເຖິງ Android ID, ແບນ, CPU, ລຸ້ນ, ເວີຊັ່ນລະບົບປະຕິບັດການ, ພາສາ, ສະຖານະ developer options, ລາຍລະອຽດ SIM ແລະ ເຟິມແວ (Firmware);
- GeoInfo: ກຳນົດຕຳແໜ່ງ geographic location ຂອງອຸປະກອນໂດຍໃຊ້ IP address, ຂໍ້ມູນຊື່ ISP, ອົງກອນ, services ແລະ fraud score ເພື່ອກວດສອບຜູ້ໃຊ້;
- EmuInfo: ສະແດງລາຍການ adbProperties ເພື່ອກວດສອບວ່າ Client ເປັນອຸປະກອນຈິງ ຫຼື ໂປຣແກຣມຈຳລອງ, ກວດສອບ CPU, ໜ່ວຍຄວາມຈຳ, ເຊັນເຊີ (Sensor), ການກຳນົດຄ່າ USB ແລະ ສະຖານະ ADB;
- RootInfo: ລະບຸວ່າອຸປະກອນຖືກ Root ໂດຍໃຊ້ວິທີການຕ່າງໆ ແລະ ລະບຸສະຖານະວ່າມີການ Root ຫຼື ບໍ່;
- Packages: ສະແດງລາຍການລະບົບ ແລະ third-party apps ທັງໝົດທີ່ຕິດຕັ້ງເທິງອຸປະກອນໂດຍໃຊ້ system commands;
- Accessibility: ລາຍງານສະຖານະຂອງ accessibility services permissions;
- GetURL: Requests ເພໂຫຼດຂັ້ນຕອນທີ່ສອງຈາກ C2 server ໂດຍລະບຸ Android ID ແລະ ຮັບ status ແລະ ອາດຈະເປັນການເລີ່ມເຮັດວຽກຂອງ encrypted assembly DLL.
ລວມເຖິງ McAfee ຍັງພົບການເຊື່ອມໂຍງລະຫວ່າງ Xamalicious ແລະ ແອັບໂຄສະນາ ad-fraud app ທີ່ເອີ້ນວ່າ ‘Cash Magnet’ ຊຶ່ງຈະກົດເຂົ້າໂຄສະນາໂດຍອັດໂນມັດ ແລະ ຕິດຕັ້ງ adware ເທິງອຸປະກອນຂອງເຫຍື່ອເພື່ອສ້າງລາຍໄດ້ໃຫ້ກັບຜູ້ໃຫ້ບໍລິການ ຈຶ່ງມີຄວາມເປັນໄປໄດ້ວ່າ Xamalicious ຈະໂຈມຕີຜ່ານ ad-fraud app ທີ່ຕິດຕັ້ງເທິງເຄື່ອງເປົ້າໝາຍ ສົ່ງຜົນໃຫ້ປະສິດທິພາບຂອງ Processor ແລະ ແບນວິດເຄືອຂ່າຍຫຼຸດລົງ.
ເຖິງແມ່ນວ່າ Google Play ຈະຍັງມີຄວາມສ່ຽງຕໍ່ການອັບໂຫຼດມັນແວແອັບ ແຕ່ກໍ່ໄດ້ລິເລີ່ມໂຄງການ App Defense Alliance ທີ່ມີເປົ້າໝາຍເພື່ອກວດຈັບ ແລະ ລຶບໄພຄຸກຄາມໃໝ່ໆ ທີ່ປະກົດເທິງ App Store. ດັ່ງນັ້ນ, ຜູ້ໃຊ້ Android ຄວນຫຼີກລ້ຽງການດາວໂຫຼດແອັບຈາກ third-party ແລະ ດາວໂຫຼດສະເພາະແອັບທີ່ຈຳເປັນຕ້ອງໃຊ້ງານເທົ່ານັ້ນ.
ເອກະສານອ້າງອີງ:
- https://www.bleepingcomputer.com/news/security/new-xamalicious-android-malware-installed-330k-times-on-google-play/
- https://www.i-secure.co.th/2024/01/%e0%b8%a1%e0%b8%b1%e0%b8%a5%e0%b9%81%e0%b8%a7%e0%b8%a3%e0%b9%8c-xamalicious-%e0%b8%95%e0%b8%b1%e0%b8%a7%e0%b9%83%e0%b8%ab%e0%b8%a1%e0%b9%88%e0%b8%9a%e0%b8%99-android-%e0%b8%96%e0%b8%b9%e0%b8%81/
