สปายแวร์ ‘Mandrake’ รีเทิร์น ซ่อนตัวนานสองปีบน ‘Google Play’
นักวิจัย “แคสเปอร์สกี้”
พบแคมเปญสปายแวร์ใหม่ล่าสุดที่แพร่กระจายมัลแวร์แมนเดรก หรือ “Mandrake”
ผ่าน Google Play
หลอกว่าเป็นแอปที่ถูกกฎหมายเกี่ยวกับสกุลเงินดิจิทัล
ดาราศาสตร์ และเครื่องมือยูทิลิตี้ต่างๆ
ผู้เชี่ยวชาญของแคสเปอร์สกี้ค้นพบแอปพลิเคชัน
Mandrake
จำนวน 5 แอปบน Google Play ซึ่งเปิดให้ใช้งานนานสองปีแล้ว
โดยมียอดดาวน์โหลดมากกว่า 32,000 ครั้ง
มีฟีเจอร์และเทคนิคการหลบเลี่ยงขั้นสูง
ทำให้ผู้ให้บริการรักษาความปลอดภัยไม่สามารถตรวจพบแอปพลิเคชันเหล่านี้ได้
Mandrake
เป็นสปายแวร์ที่ค้นพบครั้งแรกในปี 2563
เป็นแพลตฟอร์มจารกรรมระบบแอนดรอยด์ที่ซับซ้อนและดำเนินงานมาตั้งแต่ปี 2559
เป็นอย่างน้อย
แทตยาน่า ชิชโกวา
หัวหน้านักวิจัยความปลอดภัยของทีม GReAT (Global Research
and Analysis Team) แคสเปอร์สกี้ กล่าวว่า
หลังจากหลบเลี่ยงการตรวจจับเป็นเวลาสี่ปีในเวอร์ชันเริ่มต้น แคมเปญ Mandrake
ล่าสุดยังคงไม่ถูกตรวจพบบน Google Play เป็นเวลาสองปี
แสดงให้เห็นถึงทักษะขั้นสูงของผู้ก่อภัยคุกคามที่เกี่ยวข้อง
ทั้งยังเน้นย้ำถึงแนวโน้มที่น่าวิตกกังวลอีกด้วย
เนื่องจากข้อจำกัดที่เข้มงวดยิ่งขึ้นและการตรวจสอบความปลอดภัยมีความเข้มงวดมากขึ้น
ความซับซ้อนของภัยคุกคามที่แทรกซึมเข้ามาในแอปสโตร์อย่างเป็นทางการจึงเพิ่มมากขึ้น
ทำให้ตรวจจับได้ยากขึ้น
ทั้งนี้ ในเดือนเม.ย.2567
นักวิจัยกี้ได้ค้นพบตัวอย่างที่น่าสงสัย ซึ่งบ่งชี้ว่าเป็น Mandrake
เวอร์ชันใหม่ที่มีฟังก์ชันการทำงานที่ได้รับการปรับปรุง
ตัวอย่างใหม่เหล่านี้มีเทคนิคการบดบังและหลีกเลี่ยงขั้นสูง
รวมถึงการเปลี่ยนฟังก์ชันที่เป็นอันตรายไปยังไลบรารีเนทีฟที่ปิดบัง
โดยใช้ OLLVM การใช้ใบรับรองสำหรับการสื่อสารที่ปลอดภัยกับเซิร์ฟเวอร์คำสั่งและการควบคุม
(command and control - C2)
และการดำเนินการตรวจสอบอย่างละเอียดเพื่อตรวจจับว่า Mandrake กำลังทำงานบนอุปกรณ์ที่รูทหรือภายในสภาพแวดล้อมจำลอง
สำหรับคุณสมบัติที่โดดเด่นของ Mandrake
เวอร์ชันใหม่คือ
การเพิ่มเทคนิคปิดบังขั้นสูงที่ออกแบบมาเพื่อข้ามการตรวจสอบความปลอดภัยของ Google
Play และขัดขวางการวิเคราะห์
ผู้เชี่ยวชาญระบุ
แอปพลิเคชันที่มีสปายแวร์ Mandrake เหล่านี้เผยแพร่บน
Google Play ในปี 2565 พร้อมให้ดาวน์โหลดอย่างน้อยหนึ่งปี
เปิดตัวในรูปแบบแอปแชร์ไฟล์ผ่าน Wi-Fi แอปบริการดาราศาสตร์
แอป Amber สำหรับเกม Genshin แอปสกุลเงินดิจิทัล
และแอปที่มีเกมปริศนา จนถึงเดือนก.ค.ที่ผ่านมา ตามข้อมูลของ VirusTotal ยังไม่มีแอปใดที่ถูกตรวจพบว่าเป็นมัลแวร์โดยผู้จำหน่ายใดๆ
แม้ว่าแอปพลิเคชันที่เป็นอันตรายเหล่านี้จะไม่อยู่ใน
Google
Play แล้ว แต่แอปพลิเคชันเหล่านี้เคยเปิดให้ดาวน์โหลดในหลายประเทศ
โดยการดาวน์โหลดส่วนใหญ่อยู่ในแคนาดา เยอรมนี อิตาลี เม็กซิโก สเปน เปรู
และสหราชอาณาจักร
เมื่อพิจารณาถึงความคล้ายคลึงกันของแคมเปญปัจจุบันและแคมเปญก่อนหน้ากับโดเมน
C2 ที่จดทะเบียนในรัสเซีย แคสเปอร์สกี้สันนิษฐานด้วยความมั่นใจสูงว่า
ผู้ก่อภัยคุกคามจะเป็นรายเดียวกับที่ระบุไว้ในรายงานการตรวจจับครั้งแรกของ Bitdefender
ผู้เชี่ยวชาญของแคสเปอร์สกี้แนะนำเคล็ดลับเพื่อความปลอดภัยจากภัยคุกคามอย่างสปายแวร์
Mandrake
ดังต่อไปนี้
ใช้ Marketplace ที่เป็นทางการ:
ดาวน์โหลดแอปและซอฟต์แวร์จากแหล่งที่เชื่อถือได้และเป็นทางการ
หลีกเลี่ยงแอปสโตร์ของเธิร์ดปาร์ตี้
เนื่องจากมีความเสี่ยงสูงที่แอปและซอฟต์แวร์ดังกล่าวอาจโฮสต์ได้
แม้แต่แพลตฟอร์มที่เป็นทางการก็อาจโฮสต์แอปที่เป็นอันตรายได้
ควรตรวจสอบรีวิวและคะแนนก่อนดาวน์โหลดเสมอ
ใช้ซอฟต์แวร์รักษาความปลอดภัยที่มีชื่อเสียง:
ติดตั้งและบำรุงรักษาซอฟต์แวร์ป้องกันไวรัสและแอนตี้มัลแวร์ที่มีชื่อเสียงบนอุปกรณ์
สแกนอุปกรณ์เป็นประจำเพื่อหาภัยคุกคามที่อาจเกิดขึ้น
และอัปเดตซอฟต์แวร์รักษาความปลอดภัยให้ทันสมัยอยู่เสมอ
เรียนรู้เพิ่มเติมเรื่องกลโกงหลอกลวง:
คอยติดตามข้อมูลเกี่ยวกับภัยคุกคามทางไซเบอร์ เทคนิค และกลวิธีล่าสุด
ระวังคำขอและข้อเสนอที่น่าสงสัย
หรือคำขอข้อมูลส่วนบุคคลหรือข้อมูลทางการเงินแบบด่วนๆ
พึงระมัดระวัง :
ซอฟต์แวร์ของเธิร์ดปาร์ตี้จากแหล่งยอดนิยมมักไม่มีการรับประกัน
เนื่องจากแอปดังกล่าวอาจมีข้อมูลที่เป็นอันตราย เช่น การโจมตีซัพพลายเชน
ที่มา : กรุงเทพธุรกิจ
วันที่ 31 กรกฎาคม 2567
