Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ມັນແວ (Malware) Xamalicious ໂຕໃໝ່ເທິງລະບົບ Android ຖືກຕິດຕັ້ງຫຼາຍກວ່າ 330,000 ຄັ້ງ ຜ່ານ Google Play

ມັນແວ (Malware) Xamalicious ໂຕໃໝ່ເທິງລະບົບ Android ຖືກຕິດຕັ້ງຫຼາຍກວ່າ 330,000 ຄັ້ງ ຜ່ານ Google Playພົບ​ Android backdoor ທີ່​ຍັງ​ບໍ່​ເຄີຍ​ຖືກຄົ້ນ​ພົບ​ມາ​ກ່ອນ​ ຊື່​ 'Xamalicious' ໄດ້​ຖືກ​ຕິດ​ຕັ້ງ​ທີ່​ອຸປະກອນ​ Android ​​ເຖິງ​ 338,300 ເຄື່ອງ​ ຜ່ານ​ແອັບ​ພິ​ເຄ​ຊັ່ນ​ທີ່​ເປັນ​ອັນຕະລາຍ​ຜ່ານ​ Google Play ຊຶ່ງ​ເປັນ​ App Store ຢ່າງ​ເປັນ​ທາງ​ການ​ຂອງລະບົບປະຕິບັດການ​ Android.

ເຫດການ​ນີ້​ຖືກ​ພົບ​ໂດຍ​ສະມາຊິກ​ App Defense Alliance ຂອງ​ McAfee ຊຶ່ງ​ໄດ້​ຄົ້ນ​ພົບ​ແອັບ​ທີ່​ເປັນ​ອັນຕະລາຍ​ 14 ລາຍ​ການ​ເທິງ​ Google Play ຊຶ່ງພົບວ່າ​ມີ​ 3 ແອັບ​ທີ່​​ຕິດ​ຕັ້ງ​​ແລ້ວ​ຫຼາຍກວ່າ​ 100,000 ຄັ້ງ​ ເຖິງ​ແມ່ນ​ວ່າ​ແອັບ​ທີ່​ເປັນ​ອັນຕະລາຍ​ຈະ​ຖືກ​ລຶບ​ອອກ​​ຈາກ​ Google Play ແລ້ວ​ ແຕ່​ກໍ່​ຍັງມີ​ຜູ້​ທີ່​ຕິດ​ຕັ້ງ​ແອັບ​​ແລ້ວ​ຕັ້ງ​ແຕ່ກ​າງ​ ປີ​ 2020 ເຮັດໃຫ້ຍັງ​ມີ​ມັນ​ແວ​ (Malware) Xamalicious ຢູ່​ເທິງ​ໂທລະ​ສັບ​ ຊຶ່ງ​ຈຳ​ເປັນ​ຕ້ອງ​ມີ​ການ​ກວດ​ສອບ​ ແລະ ​ລຶບ​ອອກ​ດ້ວຍ​ຕົນເອງ​.

ແອັບ​ Xamalicious ທີ່​ຖືກ​ຕິດ​ຕັ້ງ​​ຫຼາຍ​ທີ່ສຸດ​ມີ​ດັ່ງ​ຕໍ່ໄປ​ນີ້​:

  • Essential Horoscope for Android ​ຕິດ​ຕັ້ງແລ້ວ​ 100,000 ຄັ້ງ​
  • 3D Skin Editor for PE Minecraft ​ຕິດ​ຕັ້ງແລ້ວ​ 100,000 ຄັ້ງ​
  • Logo Maker Pro ​ຕິດ​ຕັ້ງ​ແລ້ວ 100,000 ຄັ້ງ​
  • Auto Click Repeater ​ຕິດ​ຕັ້ງ​ແລ້ວ 10,000 ຄັ້ງ​
  • Count Easy Calorie ຕິດ​ຕັ້ງແລ້ວ​ 10,000 ຄັ້ງ​
  • Dots: One Line Connector ​ຕິດ​ຕັ້ງ​ແລ້ວ 10,000 ຄັ້ງ​
  • Sound Volume Extender ​ຕິດ​ຕັ້ງແລ້ວ​ 5,000 ຄັ້ງ​
ນອກ​ຈາກ​ນີ້,​ ຍັງລະ​ບຸ​ແອັບ​ທີ່​ເປັນ​ອັນຕະລາຍ​ອີກ​ 12 ລາຍ​ການ ​ທີ່​ມີ​ມັນ​ແວ​​ Xamalicious ຊຶ່ງ​ຍັງ​ບໍ່​ມີ​ສະ​ຖິ​ຕິ​ການ​ດາວ​ໂຫຼດ​ໃນ​ unofficial third-party app stores ທີ່​ຈະ​ແຜ່ກ​ະ​ຈາຍ​ໄປ​ທີ່​ຜູ້​ໃຊ້​ຜ່ານ​ຟາຍ​ APK (ແພັກ​ເກດ​ Android) ທີ່​ດາວ​ໂຫຼດ​ໄດ້​ ຈາກ​ຂໍ້​ມູນ​ທີ່​ໄດ້ຮັບ​ຈາກ​ McAfee ພົບ​ວ່າ​ການ​ຕິດ​ຕັ້ງ​ສ່ວນ​ຫຼາຍ​ ຢູ່​ເທິງ​ອຸປະກອນ​ໃນສະຫະລັດອາເມລິກາ,​ ເຢຍລະມັນ,​ ສະ​ເປນ,​ ອອດສະເຕເລຍ,​ ບ​າ​ຊິວ,​ ແມັກ​ຊິ​ໂກ​ ແລະ​ ອາ​​ເຈນ​ຕິ​ນາ​.



Xamalicious Android backdoor

Xamalicious ຄື​ Android backdoor ທີ່​ໃຊ້​ພາສາ​ .NET (ໃນ​ຮູບ​ແບບ​ຂອງ​ 'Core.dll' ແລະ​ 'GoogleService.dll') ພາຍ​ໃນ​ແອັບ​ທີ່​ພັດທະນາ​ໂດຍ​ໃຊ້​ Xamarin framework ແບບ​ open-source ເຮັດໃຫ້​ການ​ວິ​ເຄາະ​ໂຄ້ດ (Code) ​ມີ​ຄວາມ​ຍາກ​ຫຼາຍ​ຂຶ້ນ​ ຊຶ່ງ​ເມື່ອ​ຕິດ​ຕັ້ງ​ແອັບ​ ລະບົບ​ຈະ​ຂໍ​ການ​ເຂົ້າ​ເຖິງ​ Accessibility Service ຊຶ່ງ​ເຮັດໃຫ້​ສາມາດ​ໃຊ້​ສິດ​ພິເສດ​ໄດ້​ ເຊັ່ນ​: navigation gestures, ເຊື່ອງ​ອົງ​​ປະກອບ​ເທິງ​ໜ້າດຈໍ​ ແລະ​ໃຫ້​ສິດ​ເພີ່ມຕື່ມ​ແກ່​ໂຕມັນ​ເອງ​.



ພາຍຫຼັງ​ການ​ຕິດ​ຕັ້ງ​ ມັນ​ແວ​​ຈະ​ສື່​ສານ​ກັບ​ C2 (command and control) server ເພື່ອ​ດຶງ​ຂໍ້​ມູນ​ເພ​​ໂຫຼດ​ (Payload) DLL (cache.bin) ສຳລັບ​ຂັ້ນ​ຕອນ​ທີ່​ສອງ​ຂອງ​ການ​ໂຈມ​ຕີ​ ຖ້າຫາກ​ເຄື່ອງ​ທີ່​ຖືກ​ໂຈມ​ຕີ​ກົງ​ຕາມ​ທີ່​ກຳນົດ​ ເຊັ່ນ​: geographical, network, device configuration ແລະ​ root status.



Xamalicious malware ມີ​ຄວາມ​ສາມາດ​ໃນ​ການ​ຣັນ (Run) ​ຄຳ​ສັ່ງ​ດັ່ງ​ນີ້​ :

  • DevInfo: ສັງລວມ​ຂໍ້​ມູນ​ອຸປະກອນ​ ແລະ ​ຮາ​ດ​ແວ​​ ລວມເຖິງ​ Android ID, ແບນ​, CPU, ລຸ້ນ​, ເວີ​​ຊັ່ນ​ລະບົບ​ປະຕິບັດການ​, ພາສາ​, ສະ​ຖາ​ນະ​ developer options, ລາຍ​ລະອຽດ​ SIM ແລະ ​ເ​ຟິ​ມ​ແວ​ (Firmware);
  • GeoInfo: ກຳນົດ​ຕຳແໜ່ງ​ geographic location ຂອງ​ອຸປະກອນ​ໂດຍ​ໃຊ້​ IP address, ຂໍ້​ມູນ​ຊື່​ ISP, ອົງ​ກອນ​, services ແລະ​ fraud score ເພື່ອ​ກວດ​ສອບ​ຜູ້​ໃຊ້​;
  • EmuInfo: ສະແດງ​ລາຍ​ການ​ adbProperties ເພື່ອ​ກວດ​ສອບ​ວ່າ​ Client ເປັນ​ອຸປະກອນ​ຈິງ​ ຫຼື ​ໂປຣ​ແກຣມ​ຈຳ​ລອງ​, ກວດ​ສອບ​ CPU, ໜ່ວຍ​ຄວາມ​ຈຳ​, ເຊັນ​ເຊີ​ (Sensor)​, ການ​ກຳນົດ​ຄ່າ​ USB ແລະ ​ສ​ະຖາ​ນະ​ ADB;
  • RootInfo: ລະ​ບຸ​ວ່າ​ອຸປະກອນ​ຖືກ​ Root ໂດຍ​ໃຊ້​ວິທີ​ການ​ຕ່າງ​ໆ​ ແລະ ​ລະ​ບຸ​ສ​ະຖາ​ນະ​ວ່າ​ມີ​ການ​ Root ​ຫຼື ​ບໍ່​;
  • Packages: ສະແດງ​ລາຍ​ການ​ລະບົບ​ ແລະ​ third-party apps ທັງ​ໝົດ​ທີ່​ຕິດ​ຕັ້ງ​ເທິງ​ອຸປະກອນ​ໂດຍ​ໃຊ້​ system commands;
  • Accessibility: ລາຍ​ງານ​ສະ​ຖາ​ນະ​ຂອງ​ accessibility services permissions;
  • GetURL:​ Requests ເພ​ໂຫຼດ​ຂັ້ນ​ຕອນ​ທີ່​ສອງ​ຈາກ​ C2 server ໂດຍ​ລະ​ບຸ​ Android ID ແລະ ​ຮັບ​ status ແລະ ​ອາດ​ຈະເປັນ​ການ​ເລີ່ມ​ເຮັດວຽກ​ຂອງ​ encrypted assembly DLL.

 

ລວມ​ເຖິງ​ McAfee ຍັງ​ພົບ​ການ​ເຊື່ອມ​ໂຍງ​ລະຫວ່າງ​ Xamalicious ແລະ ​ແອັບ​ໂຄສະນາ​ ad-fraud app ທີ່​ເອີ້ນວ່າ​ 'Cash Magnet' ຊຶ່ງ​ຈະ​ກົດເຂົ້າ​ໂຄສະ​ນາ​ໂດຍ​ອັດ​ໂນ​ມັ​ດ ແລະ ​ຕິດ​ຕັ້ງ​ adware ເທິງ​ອຸປະກອນ​ຂອງ​ເຫຍື່ອ​ເພື່ອ​ສ້າງ​ລາຍ​ໄດ້​ໃຫ້​ກັບ​ຜູ້​ໃຫ້​ບໍລິການ​ ຈຶ່ງ​ມີ​ຄວາມ​ເປັນ​ໄປ​ໄດ້​ວ່າ​ Xamalicious ຈະໂຈມ​ຕີ​ຜ່ານ​ ad-fraud app ທີ່​ຕິດ​ຕັ້ງ​ເທິງ​ເຄື່ອງ​ເປົ້າ​ໝາຍ​ ສົ່ງ​ຜົນ​ໃຫ້​ປະ​ສິດ​ທິ​ພາບ​ຂອງ​ Processor​ ແລະ ​ແບນ​​ວິດ​ເຄືອ​ຂ່າຍ​ຫຼຸດລົງ.​

ເຖິງ​ແມ​່ນວ່າ​ Google Play ຈະ​ຍັງມີ​ຄວາມ​ສ່ຽງ​ຕໍ່​ການ​ອັບ​ໂຫຼດ​ມັນ​ແວ​​ແອັບ​ ແຕ່​ກໍ່​ໄດ້​​ລິ​ເລີ່ມ​ໂຄງ​ການ​ App Defense Alliance ທີ່​ມີ​ເປົ້າ​ໝາຍ​ເພື່ອ​ກວດ​ຈັບ​ ແລະ ​ລຶບໄ​ພຄຸກ​ຄາມ​ໃໝ່​ໆ​ ທີ່​ປະກົດ​ເທິງ​ App Store. ດັ່ງ​ນັ້ນ, ​ຜູ້​ໃຊ້​ Android ຄວນ​ຫຼີກ​ລ້ຽງ​ການ​ດາວ​ໂຫຼດ​ແອັບ​ຈາກ​ third-party ແລະ​ ດາວ​​ໂຫຼດ​ສະເພາະ​ແອັບ​ທີ່​ຈຳ​ເປັນ​ຕ້ອງ​ໃຊ້​ງານ​ເທົ່າ​ນັ້ນ​.

ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/new-xamalicious-android-malware-installed-330k-times-on-google-play/
  2. https://www.i-secure.co.th/2024/01/%e0%b8%a1%e0%b8%b1%e0%b8%a5%e0%b9%81%e0%b8%a7%e0%b8%a3%e0%b9%8c-xamalicious-%e0%b8%95%e0%b8%b1%e0%b8%a7%e0%b9%83%e0%b8%ab%e0%b8%a1%e0%b9%88%e0%b8%9a%e0%b8%99-android-%e0%b8%96%e0%b8%b9%e0%b8%81/

ລາຍການຮູບ

Meesaisak 08 January 2024 489 Print