มัลแวร์ และแอปจาก Android ใช้ประโยชน์จากไวรัสโคโรนา

มัลแวร์ และแอปจาก Android ใช้ประโยชน์จากไวรัสโคโรนา

เมื่อมีการพัฒนาใหม่ที่เกี่ยวกับการระบาดของโรคโคโรนาไวรัสเกิดขึ้น ผู้พัฒนา Android (รวมถึงผู้พัฒนามัลแวร์ด้วย) ได้เริ่มใช้ประโยชน์จากการแพร่ระบาดนี้

นักวิจัยของ Bitdefender ได้ทำการวิเคราะห์ telemetry ของ Android จากคลัง Google Play และตลาดของบุคคลที่สามอื่น ๆ ที่มีส่วนเกี่ยวกับแอปพลิเคชั่น และมัลแวร์ที่ถูกแฝงตัวได้เป็นอย่างดี โดยอาศัยประโยชน์จาก coronavirus ในยุโรป และพบว่ามี spikes ขนาดใหญ่ในการสแกน path - ซึ่งเป็นการสแกนมากกว่า 2,100 ครั้ง ในช่วงสองสัปดาห์แรกของเดือนมีนาคม โดยในสหรัฐอเมริกานั้นสูงถึง 500 แอปพลิเคชัน และเอเชียประมาณ 1,000 แอปพลิเคชัน ที่ถูกสแกนในเดือนมีนาคม อันประกอบด้วยคีย์เวิร์ดที่สำคัญอยู่สองคำ

สิ่งที่น่าสนใจก็คือ Bitdefender ได้แสดงให้เห็นว่าผู้ใช้งานบนระบบ Android ได้มีความสนใจดาวน์โหลดและติดตั้งแอปพลิเคชั่นทางการแพทย์จาก Google Play มากขึ้น ตัวอย่างเช่นในช่วงสองสัปดาห์แรกของเดือนมีนาคม จำนวนการใช้งานที่ได้ทำการสแกนจากหมวดการแพทย์เพิ่มขึ้นมากกว่าร้อยละ 35 เมื่อเทียบกับเดือนกุมภาพันธ์ที่ผ่านมา

ตัวเลขเหล่านี้แสดงให้เห็นว่าในขณะที่การระบาดของไวรัส corona ได้เพิ่มขึ้นอย่างรุนแรงทั่วทั้งยุโรปและแพร่กระจายไปทั่วโลก ประชาชนได้ทำการค้นหาแอปพลิเคชั่นที่ให้ข้อมูลอันเกี่ยวกับขั้นตอนในการหลีกเลี่ยงการติดเชื้อ และการอัปเดตสถานการณ์ที่เกี่ยวข้องกับโรค COVID-19

ในแง่ของการวิเคราะห์แอปพลิเคชั่นจากตลาดอื่น ๆ ได้มีการค้นพบว่า ในขณะที่บางแอปพลิเคชั่นได้รับการอัปโหลดเข้าไปยังสโตร์ใหม่ เพื่อรวมแอดแวร์ที่มีการแอคทีฟมากขึ้น และแอปอื่น ๆ ได้รวมเข้ากับโทรจัน การส่ง SMS มัลแวร์

นักพัฒนามัลแวร์บางราย ได้ทุ่มเทความพยายามในการหาประโยชน์ทางการเงินจากการระบาดของไวรัสโคโรนา ตัวอย่างเช่นแอปพลิเคชันบางตัว ได้รับการควบรวมกับแอปที่มีอยู่แล้วอย่างถูกต้อง โดยที่พวกเขาได้สำรองไฟล์ต่าง ๆ ไว้ ในขณะที่แอปอื่น ๆ มีชื่อหรือเวอร์ชันที่น่าสงสัยอย่างโจ่งแจ้ง (ยกตัวอย่างเช่น“ [SPY_NOTE_VERSION_OK]”)

ในหัวข้อต่อไป จะมีข้อมูลเพิ่มเติมเกี่ยวกับสิ่งที่ค้นพบจากร้านค้า Google Play Store และมัลแวร์ Android ต่าง ๆ ที่มีธีมเกี่ยวข้องกับโคโรนาไวรัส

การโลดแล่นขึ้นมาของคลื่นกระแสโคโรนาไวรัส

แอปจำนวนมากมีคำหลัก ๆ ก็คือ “coronavirus” หรือที่มาจากชื่ออื่น ๆ ของแอปต่าง ๆ ในชื่อแพ็คเกจ เป็นต้น แอปข่าวบางรายการ ได้มีการใช้การอัปเดตที่มีกิจกรรมของคำดังกล่าว (องค์ประกอบ UI) สำหรับไวรัสโคโรนา (ตัวอย่างเช่น แผนที่โลกของเคสต่าง ๆ ที่ได้รับการยืนยันว่ามีการติดเชื้อดังกล่าว)

นอกจากนี้ความนิยมของแอปพลิเคชันเพื่อทำการนัดพบแพทย์ ก็ได้เพิ่มขึ้นโดยเฉพาะในช่วงสองสามสัปดาห์ที่ผ่านมา ตัวอย่างหนึ่งก็คือ “Zocdoc Find A Doctor & Book On Demand Appointments แอปนี้ลงทะเบียนการสแกน 867 ครั้ง โดยระหว่างวันที่ 7 มีนาคม ถึง 16 มีนาคม (ประมาณ 100 ครั้งต่อวัน) โดยที่ 97 เปอร์เซ็นต์ ได้อยู่ในสหรัฐอเมริกา ด้วยการติดตั้งมากกว่า 500,000 รายการ และบทวิจารณ์ 6,850 รายการแอพนัดหมายทางการแพทย์นี้ได้รับความนิยมอย่างสูงในสหรัฐอเมริกาที่ผู้คนพยายามติดตั้งการนัดหมายกับแพทย์ซึ่งอาจได้รับการทดสอบสำหรับ COVID-19.

นับตั้งแต่วันที่ 1 มกราคม 2020 เราพบแอปพลิเคชันกว่า 579 รายการ ที่มีกลุ่มคำหลักที่เกี่ยวข้องกับโคโรนาไวรัส (CoronaVirus) ในรายการต่าง ๆ (ชื่อ แพ็คเกจ กิจกรรม ผู้รับข้อมูล ฯลฯ) ซึ่งหมายความว่าองค์ประกอบหลักของแอปพลิเคชันนั้น ได้มีการตั้งชื่อในลักษณะ - หรือแอปพลิเคชันมีสตริง - ที่เกี่ยวข้องกับการระบาดล่าสุด จากทั้งหมด 560 รายการ พบว่ามีแอปที่ปลอดภัย เป็นโทรจัน 9 รายการ และอีก 10 รายการคือ Riskware (ซอฟต์แวร์ที่มีความเสี่ยง) การเผยแพร่แอปพลิเคชันดังกล่าวเพิ่มขึ้นอย่างมาก นับตั้งแต่วันที่ 1 มกราคม ไปจนถึงวันที่ 17 มีนาคม 2020 ซึ่งสามารถสังเกตได้จากกราฟฮิสโตแกรมด้านล่าง

รูปที่ 1 – Coronavirus-ธีมจาก Android แอปพลิเคชันที่ถูกตรวจสอบระหว่างเดือนมกราคม ถึงเดือนมีนาคม

แอปพลิเคชันที่เป็นอันตรายส่วนใหญ่มักเป็นภัยคุกคามแบบกลุ่ม ที่มีตั้งแต่มัลแวร์เรียกค่าไถ่ (ransomware) ไปจนถึงมัลแวร์ที่ส่ง SMS และแม้แต่สปายแวร์ที่ออกแบบมาเพื่อล้างเนื้อหาของอุปกรณ์ของเหยื่อ หรือสำหรับขโมยข้อมูลส่วนบุคคล หรือข้อมูลทางการเงิน

การปรับแต่งเนื้อหา โครงสร้าง เพื่อปรับอันดับบน Google Play สำหรับแอปไวรัสโคโรนา (Coronavirus)

ทันทีที่มีการประกาศการระบาดของโรคไวรัสโคโรนา อย่างเป็นทางการ Google ก็เริ่มทำการปรับเปลี่ยนการค้นหาของ Google Play เพื่อคัดกรองหรือลบแอปที่มีการแฝงมัลแวร์ต่าง ๆ อย่างรวดเร็ว

ตัวอย่างก็คือ การค้นหาคำหลัก เช่น "corona" หรือ "coronavirus" จะไม่แสดงผลการค้นหาในส่วนแอป สิ่งนี้สอดคล้องกับโพสต์บล็อกที่เผยแพร่โดย Google ได้อธิบายว่าการกระทำเหล่านี้มีวัตถุประสงค์ เพื่อช่วยเสนอข้อมูลและแอปพลิเคชันที่เกี่ยวข้องที่ผู้คนต้องการเท่านั้น

พวกเขายังตั้งค่าหน้าเว็บภายใน Marketplace ของ Google Play ที่มีเพียงแอปพลิเคชันที่ได้รับการตรวจสอบ และเกี่ยวข้องที่ให้ข้อมูลเกี่ยวกับไวรัสโคโรนา หรือเพื่อการดูแลสุขภาพเท่านั้น

Google คาดว่าจะมีการเพิ่มขึ้นของแอปพลิเคชั่นที่ฉวยโอกาสขึ้นมาในรูปแบบหัวข้อที่เป็นที่สนใจทั่วโลก และตัดสินใจที่จะลดการละเมิดดังกล่าวที่อาจจะเกิดขึ้น

ตัวอย่างเช่นแอปบางตัวได้เปลี่ยนชื่อ และคำอธิบาย เพื่อใช้ประโยชน์จากการแพร่ระบาดของโคโรนาไวรัส โดยรวมคำหลักที่ทำให้แอปอยู่ในอันดับที่ดีที่สุด เมื่อผู้คนค้นหาคำว่า "coronavirus" ใน Google Play การเปลี่ยนแปลงเหล่านี้ บางอย่างมีความซับซ้อน เฉพาะในหน้าแอปพลิเคชันบน Google Play เท่านั้น ที่ได้รับการอัปเดตไม่ใช่ตัวแอปเอง

Bubble Shooter Merge (อัปเดตเมื่อวันที่ 4 กุมภาพันธ์) เป็นเพียงตัวอย่างหนึ่งที่ผู้พัฒนาได้อัปเดตชื่อแอปพลิเคชันภายใน Google Play สองครั้ง เพื่อรวมคำหลัก ๆ สองคำ คือ "coronavirus" และ "stay home"

ด้วยการเปลี่ยนแปลงที่ค่อนข้างเรียบง่ายเหล่า นี้แอปจะ “มองเห็นได้” มากขึ้น โดยใช้ประโยชน์จากการระบาดใหญ่ด้วยแฮชแท็กของ #coronavirus หรือความท้าทายกับคำว่า #stayhome แม้ว่าเนื้อหาของแอปจะไม่เกี่ยวข้องกับ COVID-19 แต่อย่างใด

อีกตัวอย่างหนึ่งซึ่งก็คือ Galaxy Shooter - Falcon Squad เกมอาร์เคดที่มีการติดตั้งมากกว่า 10 ล้านครั้ง การอัปเดตล่าสุดรวมถึง "กิจกรรมต่อต้านไวรัสโคโรนา" ในชื่อแอปพลิเคชันที่สามารถมองเห็นได้เฉพาะในประเทศที่พูดภาษาอังกฤษเท่านั้น และอาจตรงกับการค้นหาบนแฮชแท็กอย่างคำว่า #corona

การค้นพบที่น่าสนใจอีกอย่างเกี่ยวข้องกับนักพัฒนาที่เปลี่ยนชื่อแอปพลิเคชันของพวกเขาบน Google Play จาก “4K Wallpaper - เฉพาะภาพพื้นหลังที่มีคุณภาพ!” ไปจนถึง “Coronavirus (2019-nCov) - ปกป้องตัวคุณเอง!”

การเปลี่ยนแปลงนั้นลึกซึ้งยิ่งขึ้น นักพัฒนายังเปลี่ยนภาพหน้าจอดั้งเดิมของแอปพลิเคชันที่แสดงวอลเปเปอร์บางส่วนที่มีอยู่ แทนที่พวกเขาด้วยสิ่งที่ดูเหมือนจะเป็นแผนที่การแพร่ระบาดของโคโรนาไวรัส

ซึ่งหมายความว่า ชื่อแพคเกจนั้นยังคงเหมือนเดิม (“com.thegosa.galaxythemes”) โดยผู้พัฒนาใช้ประโยชน์จากคำว่า coronavirus เพื่อเพิ่มจำนวนการดาวน์โหลดที่น่าประทับใจ ไม่ต่ำกว่า 500,000 การติดตั้งแอปพลิเคชัน

ในขณะนี้ประมาณกว่า 22 แอปที่ใช้คำสำคัญ "coronavirus" ยังคงออนไลน์ ซึ่งส่วนใหญ่เป็นแอปอย่างเป็นทางการ และอยู่ในหมวดหมู่ "สุขภาพและการออกกำลังกาย" หรือ "ทางการแพทย์"

อย่างไรก็ตามแอปพลิเคชันประมาณ 280 รายการนั้น ได้ถูกลบออกจาก Google Play อาจเป็นเพราะผู้พัฒนาได้ละเมิดนโยบายที่ระบุไว้โดย Google ในแง่ของการละเมิดต่อการแพร่ระบาดของโคโรนาไวรัส

แอปบางตัวที่ถูกลบออกจาก Google Play มักเกี่ยวข้องกับตัวติดตามโคโรนาไวรัส ในระดับภูมิภาคหรือระดับโลก โดยมีการติดตั้งตั้งแต่ 5,000 ถึง 50,000 ครั้ง อย่างมีนัยสำคัญ

แอปธนาคารที่มีธีม Coronavirus, สปายแวร์ และผู้ขโมยข้อมูล (Infostealers)

นักวิจัยของ Bitdefender ได้เฝ้าดูที่แอปพลิเคชั่นบางตัวที่พบในตลาดของบุคคลที่สาม หรือเผยแพร่ผ่านแคมเปญฟิชชิง ที่ซึ่งผู้ใช้งานถูกสั่งให้ดาวน์โหลดด้วยตนเอง และติดตั้งโดยตรงจากเว็บไซต์ที่ควบคุมโดยผู้ไม่ประสงค์ดี

แอปพลิเคชันที่เป็นอันตรายเหล่านี้ ส่วนใหญ่ใช้ประโยชน์จากการระบาดใหญ่ของโคโรนาไวรัส เพื่อทำให้ผู้ใช้งานตกใจกลัวในการติดตั้งแอปอื่น ๆ ใช้ความหลากหลายของโดเมนโคโรนาไวรัส เพื่อซ่อนคำสั่ง และโครงสร้างพื้นฐานการควบคุม
Anubis banker เข้าร่วมในการก่อเหตุไม่พึงประสงค์ของการแพร่ระบาดของโคโรนาไวรัส

ครั้งแรกที่โทรจัน Anubis Banking ได้รับการตรวจสอบพบเจอว่าเป็นส่วนหนึ่งของแคมเปญมัลแวร์ Android coronavirus แอปพลิเคชั่นลอกเลียนแบบไซต์ข้อมูล Coronavirus และในระหว่างการติดตั้ง จะขอความช่วยเหลือในการเข้าถึงข้อมูลของคุณ หากได้รับสิทธิ์ในการเข้าถึง มันจะขอสิทธิ์อื่น ๆ อีกมากมายและยอมรับสินธิ์เหล่านั้นด้วยตนเอง

ในการโยนผู้ใช้ออกจากการติดตาม มันจะพาพวกเขาไปยังเว็บไซต์ที่มีข้อมูลสถิติของโคโรนาไวรัส (https://coronatracker.com/) จากนั้นดำเนินการเพื่อซ่อนไอคอน ในขณะที่ในพื้นหลังจะยังคงดำเนินต่อไป ด้วยการประมวลผลของฟังก์ชันเฉพาะสำหรับตัว Anubis เอง

เริ่มแรก Anubis กำหนดเป้าหมายไปยังประเทศต่าง ๆ ตั้งแต่สหรัฐอเมริกาและอินเดีย ไปจนถึงฝรั่งเศส อิตาลี เยอรมนี ออสเตรเลีย และโปแลนด์ อย่างไรก็ตามใน Android เวอร์ชันล่าสุดนี้ ดูเหมือนจะกำหนดเป้าหมายไปยังตุรกี โดยเลียนแบบเว็บไซต์ที่ถูกกฎหมายซึ่งนำผู้ใช้งานได้ไปใช้บริการนั่นเอง

ข้อความ“ uygulama aktiflestirme onayi” ได้ถูกแปลเป็น “การยืนยันการเปิดใช้งานแอปพลิเคชัน” (ตุรกี)

MD5:
b7070a1fa932fe1cc8198e89e3a799f3
64ebe4ecfb242019ee590d80740e6a46
Detection: Android.Trojan.Banker.OB

การละเมิดแอปของประเทศอิหร่าน AC19 อย่างน่าอับอาย

กรณีอีกตัวอย่างดังกล่าวเป็นการละเมิดแอปพลิเคชันข้อมูลอิหร่านโคโรน่าไวรัส ที่มีชื่อเสียงในปัจจุบัน AC19 (hxxps: //cafebazaar.ir/app/co.health.covid) ซึ่งก่อให้เกิดการโต้เถียงกันมากในอิหร่านเพราะกลัวการถูกสอดแนมโดยผู้ไม่ประสงค์ดี

แอปพลิเคชันนี้ ถูกติดตั้งโดยผู้ใช้งานที่เป็นอันตราย (com.android.tester 8eb1a54389bd742b778e56fe9dd4b11d, application label: corona) ตัวอย่างขอสิทธิ์ในการอนุญาตให้สแกนหาโคโรนาไวรัส แต่อันที่จริงแล้วจะขอสิทธิ์ในการเข้าถึงแอปพลิเคชัน Android ที่เป็นข้อมูลละเอียดอ่อน ซึ่งมัลแวร์นั้นใช้เพื่อดำเนินกิจกรรมการสอดแนมที่เป็นอันตรายต่อไป

การเฝ้าระวังและการสอดแนมเป็นจำนวนมาก

การสอดแนมที่เป็นอันตราย มีแอปพลิเคชั่น Corona live ที่ถูกต้องตามกฎหมาย ในขณะที่รายงานก่อนหน้านี้ได้ครอบคลุมตัวอย่างที่กล่าวถึงด้านล่างบางส่วน นักวิจัยของ Bitdefender ยังพบตัวอย่างชื่อ Crona อีกสองตัวอย่าง ซึ่งแสดงให้เห็นว่าผู้เขียนกำลังดำเนินการรณรงค์นี้อย่างชัดเจนโดยไม่มีที่สิ้นสุด

แอปพลิเคชั่นใหม่สองรายการถูกสร้างด้วยชื่อแพ็คเกจที่ไม่ถูกต้อง และไม่สามารถติดตั้งได้ ความเร่งรีบในการแพร่ระบาดของมัลแวร์นี้อย่างต่อเนื่องนั้นค่อนข้างสูง ซึ่งดูเหมือนว่าจะทำให้ผู้ประสงค์ร้ายมีแนวโน้มที่จะทำให้เกิดความผิดพลาด

ไอคอนแอพพลิเคชั่นใหม่ทั้งหมดนั้นเป็นที่รู้จักกันดีในครอบครัว
แอปพลิเคชันที่ถูกต้องตามกฎหมายจะถูกจัดเก็บภายในภายใน
/res folder of the APK; in res/raw/MT_Bin or res/raw/google.apk.

จากตระกูลมัลแวร์เดียวกันเราได้ค้นพบรูปแบบที่ใหม่กว่า จำนวนสามรูปแบบ ที่มีเพียงชื่อแอปพลิเคชันโคโรนาไวรัส โดยทำเพียงซ่อนไอคอนเมื่อเปิดตัว

ลักษณะแปลก ๆ ของแอปพลิเคชั่นเหล่านี้คือทั้งสามมีชื่อรุ่นว่า:
 [SPY_NOTE_VERSION_OK]

Coronavirus Tracker ในชื่อแอดแวร์ที่แฝงมากับเกมส์

อีกตัวอย่างหนึ่งของแอปพลิเคชั่นที่มีการละเมิดช่วงในเวลาเหล่านี้ เพื่อผลประโยชน์ที่ไม่ดีจะมีชื่อ Coronavirus Tracker (e423f61f1414eccd38649f20d018723d) และมอบแอดแวร์ให้กับผู้ใช้งานที่ไม่รู้สึกสงสัย

เมื่อเริ่มต้นใช้งานแอปพลิเคชั่นบอกว่า “ไม่สามารถใช้งานได้ในประเทศของคุณ” และซ่อนตัว มันจะอยู่นิ่ง ๆ ก่อนที่จะเริ่มโจมตีผู้ใช้งานด้วยโฆษณาที่ตามมา

ข้อสังเกตที่น่าสนใจก็คือ ในบางกรณีแอปพลิเคชันจะไม่ซ่อนไอคอนบนอุปกรณ์ของ Xiaomi แม้ว่าจะไม่ทราบสาเหตุ แต่สิ่งนี้อาจบ่งบอกว่า Xiaomi นั้นเป็นที่ชื่นชอบส่วนตัวของผู้สร้างมัลแวร์

Bitdefender ยังพบ CnC จากที่ดาวน์โหลดการกำหนดค่า (api [.] jetrohe [.] pw) ซึ่งอาจแสดงแอปที่ปรับแต่งเองได้

MD5: e423f61f1414eccd38649f20d018723d
Detection: Android.Trojan.HiddenAds.ALB by Bitdefender.

อาจจะถึงเวลาการโจมตีแบบเดี่ยว ๆ ของแอปโคโรนาไวรัส

อีกตัวอย่างที่น่าสนใจในแคมเปญ Corona คือแอปพลิเคชั่นชื่อ CORONAVIRUS (com.MaCHIbuild.Ninjaclimbs.jumpout) ตอนแรกดูเหมือนว่าจะเป็น wrapper ง่าย ๆ บนแผนที่โลกของการแสดงข้อมูลโคโรนาไวรัส https://www.worldometers.info/coronavirus/.

แอปพลิเคชั่นมีตรรกะที่แตกต่างกันโดยไม่คาดคิด ซึ่งจะดึงข้อมูลจาก CnC http[:]//contorl.okapk[.]website/AmineData.json และจะเปิด WebView ด้วยแผนที่โลก หรือลิงก์อื่นทั้งหมดที่ CnC จัดทำขึ้น

ตัวอย่างเช่น CnC จะส่งคืน:

{
   "web_data": {
     "status": "0",
     "link": "https://google.com"
 }
ด้วยตรรกะนี้หาก "สถานะ" เป็น "0" แอปพลิเคชันจะเปิดแผนที่โลกโคโรนาไวรัส เมื่อใดก็ตามที่นักพัฒนาซอฟต์แวร์ควรเลือกที่จะเปลี่ยนแปลงสิ่งนี้ แอป Coronavirus ที่เชื่อถือได้ของคุณ จะกลายเป็นสิ่งที่เป็นอันตรายสำหรับตัวคุณเอง

เนื้อหาแอดแวร์ และเนื้อหาสำหรับผู้ใหญ่นั้น ส่วนใหญ่มีแนวโน้มจะมาในไม่ช้า ภายในโค้ดของแอปพลิเคชัน เราจะเห็นฟังก์ชั่นการใช้งานบางส่วน ที่พยายามโหลดโฆษณา StartApp ที่กำหนดเอง โฆษณา Ogury และโฆษณา Admob รวมถึงความสามารถในการเปิดแท็บ Chrome ด้วยลิงก์ที่กำหนดขึ้นมาเอง

เราคาดว่าจะมีการจัดเตรียมเนื้อหาสำหรับผู้ใหญ่ไว้ เนื่องจากส่วนอื่นของแอปพลิเคชั่นที่มีการใช้งานบางส่วน แอปพลิเคชันเตรียมลิงค์ไปยัง
https[:]//t.grtyb[.]com (ซึ่งเชื่อมตรงไปยัง hxxps://www[.]thepornstudy[.]com ซึ่งเป็นไซต์สำรวจแนวลามกอนาจาร) ที่จะโหลดลงใน WebView ของตัวเอง ใน URL นี้ ผู้เขียนจะเพิ่มโทเค็นและการอ้างอิงเฉพาะที่จะสร้างรายได้ให้กับผู้พัฒนาแอปพลิเคชันในแต่ละครั้งที่เหยื่อเข้าชมลิงก์

MD5: 783277390d3fb1ad0fb7751d982d21ff
Detection: Android.Riskware.HiddenAds.GX

แอป Iranian Coronavirus

کرونا ویروس หมายถึง โคโรนาไวรัสในภาษาเปอร์เซีย และดูเหมือนจะเป็นแอปที่ให้ข้อมูลที่ช่วยให้ผู้ใช้งาน สามารถระบุอาการที่พบบ่อยของการเจ็บป่วย ในขณะที่ติดต่อกับข่าวที่เกี่ยวข้องกับการระบาดของโรค

แอปได้รับการพัฒนาโดยใช้เฟรมเวิร์ก เนื่องจากข้อมูลส่วนใหญ่ของโค้ด ดูเหมือนจะสร้างขึ้นโดยอัตโนมัติ ทำให้ลอจิกของโค้ดยากที่จะเข้าใจ

ฟังก์ชั่นหลักของแอปนั้น สามารถพบได้ในส่วนประกอบการส่งข้อความของ Firebase เนื่องจากเซิร์ฟเวอร์สื่อสารกับแอพผ่านทาง Object JSON

ข้อความ JSON ที่ได้รับจะถูกตรวจสอบโดยแอป และขึ้นอยู่กับคำสั่งที่ได้รับ สิ่งที่พฤติกรรมของแอปพลิเคชันสามารถควบคุมได้ จากข้อความที่ได้รับจากการควบคุมเซิร์ฟเวอร์จากระยะไกล

ฟังก์ชั่นกลางของแอปนั้นคล้ายกับแอพที่ตรวจจับด้วย Android.Riskware.HiddenApp.GN แต่ได้รับการดัดแปลงให้มีข้อมูลเกี่ยวกับ coronavirus เนื่องจากเป็นจุดดึงดูดที่สำคัญสำหรับผู้ใช้ Android ในขณะเดียวกัน ก็ให้โอกาสในการกระหน่ำยิงด้วยป๊อปอัป

หน้าที่การใช้งานหนึ่งของแอปคือความสามารถในการเปลี่ยนเส้นทางลิงก์ใด ๆ ที่ส่งผ่านข้อความ firebase ไปยังเบราเซอร์

ฟังก์ชั่นที่น่าสนใจอื่น ๆ จะถูกเรียกใช้งาน เมื่อได้รับข้อความคำสั่ง firebase ที่มี Telegram ลิงค์ที่มีให้ใช้เพื่อเปิดช่องหรือกลุ่มโทรเลขเฉพาะ

แอปพลิเคชั่นจะค้นหาแอปพลิเคชั่น Telegram บนต้นฉบับของอุปกรณ์ก่อน หากไม่มีอยู่จะค้นหาแอพแชทที่คล้ายกัน ซึ่งเป็นที่นิยมในอิหร่าน อันแรกที่ค้นพบนั้นจะเปิดขึ้น และลิงก์นั้นสามารถมองเห็นได้ว่าเป็นป๊อปอัปในแอปพลิเคชัน

ไม่เพียงแต่จะสามารถเปิดหน้าเว็บและแอปแชทได้เท่านั้น แต่ยังสามารถรับชื่อแพ็คเกจที่จะลองเปิดทั้งใน Google Play หรือใน CafeBazaar ซึ่งเป็นตลาด Android ของอิหร่าน ที่ได้รับความนิยม ทั้งนี้ขึ้นอยู่กับคำสั่งที่ออกให้

แอปพลิเคชันยังมีความสามารถในการเปิดหน้า Instagram ใด ๆ ที่ได้รับจากการส่งข้อความ firebase:

โดยสรุปแอพพลิเคชั่น coronavirus มีความสามารถมากกว่าแอปพลิเคชั่นที่ให้ข้อมูล และฟังก์ชันการทำงานของแอปเอง น่าจะถูกใช้ในลักษณะที่เป็นอันตรายต่อผู้ใช้

MD5s:
b0a418ce4f5439ddcb9c864e5ffd45a4
1897b6b9e3f2eab26d7175c14290129d
31092e0fefbe653d27479edb0e7f849a

Detection: Android.Riskware.HiddenAds.HZ

The Joke(r) ที่อยู่กับคุณ

ดูเหมือนว่า Joker Trojan จะพยายามหาประโยชน์จากการระบาดของโคโรนา แม้ว่าจะพยายามซ่อน CnC โดยใช้รูปแบบโดเมน coronavirus เท่านั้น UI ของแอปพลิเคชันเกมยังคงไม่เปลี่ยนแปลง

เผยแพร่ด้วย iFun Game (Android.Trojan.Joker.GC) แอพนี้ได้รับการบรรจุใหม่ด้วยมัลแวร์ Joker ซึ่งดาวน์โหลดข้อมูลจาก http [:] // coronavirus.oss-acceler.aliyuncs [.] com CnC

แน่นอน Joker ทำให้งงงวย CnC เพื่อให้การวิเคราะห์แบบคงที่ไม่ได้ระบุ อย่างไรก็ตามดังที่เห็นในภาพด้านล่างมันสามารถเลื่อนตัวอักษรบางตัวได้

แอปพลิเคชันยังสามารถพบได้ในตลาดของบุคคลที่สาม

MD5: fed0a95f4e1936500e7c8c990666c7a6
Detection: Android.Trojan.Joker.GC

มัลแวร์ธนาคาร Android เพิ่มเติม

โทรจันที่มีการขโมยข่าวสารเพิ่มเติมของ coronavirus รวมถึงโทรจันธนาคาร ที่ถูกออกแบบมาเพื่อทำหน้าที่เป็น RAT (Remote Access Trojan) ทำให้ผู้โจมตีสามารถคงอยู่บนอุปกรณ์ของเหยื่อได้ ในขณะที่กำลังทำการข้อมูลที่เป็นส่วนบุคคลและละเอียดอ่อน

ในบางกรณี ผู้เขียนเพียงแต่ใส่ใจที่จะเปลี่ยนชื่อแอปพลิเคชันจาก Coronavirus เป็น CoronaVirus

เมื่อผู้คนตระหนักมากขึ้นว่าพวกเขาอาจถูกกำหนดเป้าหมายด้วยารหลอกลวง เกี่ยวข้องกับไวรัสโคโรนา ผู้เขียนมัลแวร์คำนึงถึงเรื่องนี้ ตัวอย่างเช่นขณะกำหนดเป้าหมายผู้ใช้ชาวอิตาลี ผู้พัฒนามัลแวร์เปลี่ยนชื่อของมัลแวร์เป็น Aggiornamento ซึ่งหมายถึง “ อัปเดต” ในภาษาอิตาลี

ความแตกต่างเล็ก ๆ น้อย ๆ กับ Coronavirus Finder รุ่นที่เป็นอันตรายนั้นเกี่ยวข้องกับ UI ที่แสดง ในการติดตั้งจะนำผู้ใช้ไปยังการตั้งค่าการเข้าถึง หลังจากเปิดใช้งานจะเป็นการเปิดการตั้งค่าที่แตกต่างกัน และปิดการใช้งานสิ่งต่าง ๆ โดยอัตโนมัติ จากนั้นจะเปิดกิจกรรมที่ผู้ประสบภัยควรป้อนรายละเอียดบัตรเครดิต

หากคุณพยายามไปที่เมนูการตั้งค่าจากนั้นกดแอปพลิเคชันและเลื่อนลงมัลแวร์จะพาคุณไปที่หน้าจอหลักเพื่อป้องกันไม่ให้ผู้ที่ตกเป็นเหยื่อถอนการติดตั้งแอป แน่นอนมันยังสามารถซ่อนไอคอนเพื่อทำให้น่ารำคาญและยากยิ่งขึ้น

MD5:
2a4fe8c50de598066995bbfed2754c8f
dad9de0c3fa9b80dc1bc12535b851b5b
6815eb50505890c868f36649b07bc92d
a8dd3cd7860f3fd2d34a33b0c87bd615
d5ea5d3d9f6b44cf183ddd61c44c056e

Detection: Android.Trojan.Banker.MS

“Hacking” Pandemic: บอร์ดเกมส์

แอปปลอมอ้างว่าให้แฮ็คสำหรับ "Pandemic: The Board Game" (ซึ่งสามารถพบได้บน Google Play ที่ https://play.google.com/store/apps/details?id=com.f2zentertainment.pandemic&hl=enแต่จริง ๆ แล้วมันจะแสดงเฉพาะแอดแวร์พยายามรับหมายเลขโทรศัพท์ของผู้ใช้และโฆษณาเกม Google Play ยอดนิยมอีกเกมหนึ่ง (https://play.google.com/store/apps/details?id=com.igg.android.lordsmobile&hl=en).

นอกจากนั้นมัลแวร์ที่เราตรวจพบว่าเป็น Android.Trojan.HiddenApp.AIT ยังซ่อนตัวเองอยู่

ในการเปิดตัวแอปพลิเคชันจะแสดงขั้นตอนการยืนยันตัวตนของมนุษย์ปลอม

แต่ในความเป็นจริงการกดตัวเลือก“ ฟรี” ที่ระบุจะแสดงโฆษณาเพิ่มเติมเท่านั้น

MD5: 5b22b1782f58081c2a6c94703268693e
Detection: Android.Trojan.HiddenApp.AIT

ส่งท้าย

การระบาดของโรคโคโรนาไวรัส อาจทำให้ทุกคนวิ่งไปหาข้อมูลค้นหาแอปพลิเคชั่นที่ให้การตรวจสอบแบบสด หรือแม้กระทั่งการนัดหมายทางการแพทย์ เพื่อรับการทดสอบ ขอแนะนำให้คุณติดตั้งเฉพาะแอปอย่างเป็นทางการ จากตลาดที่เป็นทางการ และค้นหาข้อมูลจากแหล่งที่เป็นทางการเท่านั้น นอกจากนี้สิ่งสำคัญคือต้องแน่ใจว่าคุณมีโซลูชั่นรักษาความปลอดภัยมือถือ ที่สามารถปกป้องคุณและอุปกรณ์ของคุณ ให้ปลอดภัยจากมัลแวร์และภัยคุกคามออนไลน์อื่น ๆ ได้

หมายเหตุ: บทความนี้ใช้ข้อมูลทางเทคนิคซึ่งได้รับความอนุเคราะห์จากทีม Bitdefender Labs

BitdefenderTotal Security 2020

ราคาปกติ: ฿999.00

ประหยัด:฿499.50

ราคาพิเศษ: ฿499.50

Post Releases