ມັນແວ (Malware) Xamalicious ໂຕໃໝ່ເທິງລະບົບ Android ຖືກຕິດຕັ້ງຫຼາຍກວ່າ 330,000 ຄັ້ງ ຜ່ານ Google Play
ເຫດການນີ້ຖືກພົບໂດຍສະມາຊິກ App Defense Alliance ຂອງ McAfee ຊຶ່ງໄດ້ຄົ້ນພົບແອັບທີ່ເປັນອັນຕະລາຍ 14 ລາຍການເທິງ Google Play ຊຶ່ງພົບວ່າມີ 3 ແອັບທີ່ຕິດຕັ້ງແລ້ວຫຼາຍກວ່າ 100,000 ຄັ້ງ ເຖິງແມ່ນວ່າແອັບທີ່ເປັນອັນຕະລາຍຈະຖືກລຶບອອກຈາກ Google Play ແລ້ວ ແຕ່ກໍ່ຍັງມີຜູ້ທີ່ຕິດຕັ້ງແອັບແລ້ວຕັ້ງແຕ່ກາງ ປີ 2020 ເຮັດໃຫ້ຍັງມີມັນແວ (Malware) Xamalicious ຢູ່ເທິງໂທລະສັບ ຊຶ່ງຈຳເປັນຕ້ອງມີການກວດສອບ ແລະ ລຶບອອກດ້ວຍຕົນເອງ.
ແອັບ Xamalicious ທີ່ຖືກຕິດຕັ້ງຫຼາຍທີ່ສຸດມີດັ່ງຕໍ່ໄປນີ້:
- Essential Horoscope for Android ຕິດຕັ້ງແລ້ວ 100,000 ຄັ້ງ
- 3D Skin Editor for PE Minecraft ຕິດຕັ້ງແລ້ວ 100,000 ຄັ້ງ
- Logo Maker Pro ຕິດຕັ້ງແລ້ວ 100,000 ຄັ້ງ
- Auto Click Repeater ຕິດຕັ້ງແລ້ວ 10,000 ຄັ້ງ
- Count Easy Calorie ຕິດຕັ້ງແລ້ວ 10,000 ຄັ້ງ
- Dots: One Line Connector ຕິດຕັ້ງແລ້ວ 10,000 ຄັ້ງ
- Sound Volume Extender ຕິດຕັ້ງແລ້ວ 5,000 ຄັ້ງ
Xamalicious Android backdoor
Xamalicious ຄື Android backdoor ທີ່ໃຊ້ພາສາ .NET (ໃນຮູບແບບຂອງ 'Core.dll' ແລະ 'GoogleService.dll') ພາຍໃນແອັບທີ່ພັດທະນາໂດຍໃຊ້ Xamarin framework ແບບ open-source ເຮັດໃຫ້ການວິເຄາະໂຄ້ດ (Code) ມີຄວາມຍາກຫຼາຍຂຶ້ນ ຊຶ່ງເມື່ອຕິດຕັ້ງແອັບ ລະບົບຈະຂໍການເຂົ້າເຖິງ Accessibility Service ຊຶ່ງເຮັດໃຫ້ສາມາດໃຊ້ສິດພິເສດໄດ້ ເຊັ່ນ: navigation gestures, ເຊື່ອງອົງປະກອບເທິງໜ້າດຈໍ ແລະໃຫ້ສິດເພີ່ມຕື່ມແກ່ໂຕມັນເອງ.
ພາຍຫຼັງການຕິດຕັ້ງ ມັນແວຈະສື່ສານກັບ C2 (command and control) server ເພື່ອດຶງຂໍ້ມູນເພໂຫຼດ (Payload) DLL (cache.bin) ສຳລັບຂັ້ນຕອນທີ່ສອງຂອງການໂຈມຕີ ຖ້າຫາກເຄື່ອງທີ່ຖືກໂຈມຕີກົງຕາມທີ່ກຳນົດ ເຊັ່ນ: geographical, network, device configuration ແລະ root status.
Xamalicious malware ມີຄວາມສາມາດໃນການຣັນ (Run) ຄຳສັ່ງດັ່ງນີ້ :
- DevInfo: ສັງລວມຂໍ້ມູນອຸປະກອນ ແລະ ຮາດແວ ລວມເຖິງ Android ID, ແບນ, CPU, ລຸ້ນ, ເວີຊັ່ນລະບົບປະຕິບັດການ, ພາສາ, ສະຖານະ developer options, ລາຍລະອຽດ SIM ແລະ ເຟິມແວ (Firmware);
- GeoInfo: ກຳນົດຕຳແໜ່ງ geographic location ຂອງອຸປະກອນໂດຍໃຊ້ IP address, ຂໍ້ມູນຊື່ ISP, ອົງກອນ, services ແລະ fraud score ເພື່ອກວດສອບຜູ້ໃຊ້;
- EmuInfo: ສະແດງລາຍການ adbProperties ເພື່ອກວດສອບວ່າ Client ເປັນອຸປະກອນຈິງ ຫຼື ໂປຣແກຣມຈຳລອງ, ກວດສອບ CPU, ໜ່ວຍຄວາມຈຳ, ເຊັນເຊີ (Sensor), ການກຳນົດຄ່າ USB ແລະ ສະຖານະ ADB;
- RootInfo: ລະບຸວ່າອຸປະກອນຖືກ Root ໂດຍໃຊ້ວິທີການຕ່າງໆ ແລະ ລະບຸສະຖານະວ່າມີການ Root ຫຼື ບໍ່;
- Packages: ສະແດງລາຍການລະບົບ ແລະ third-party apps ທັງໝົດທີ່ຕິດຕັ້ງເທິງອຸປະກອນໂດຍໃຊ້ system commands;
- Accessibility: ລາຍງານສະຖານະຂອງ accessibility services permissions;
- GetURL: Requests ເພໂຫຼດຂັ້ນຕອນທີ່ສອງຈາກ C2 server ໂດຍລະບຸ Android ID ແລະ ຮັບ status ແລະ ອາດຈະເປັນການເລີ່ມເຮັດວຽກຂອງ encrypted assembly DLL.
ລວມເຖິງ McAfee ຍັງພົບການເຊື່ອມໂຍງລະຫວ່າງ Xamalicious ແລະ ແອັບໂຄສະນາ ad-fraud app ທີ່ເອີ້ນວ່າ 'Cash Magnet' ຊຶ່ງຈະກົດເຂົ້າໂຄສະນາໂດຍອັດໂນມັດ ແລະ ຕິດຕັ້ງ adware ເທິງອຸປະກອນຂອງເຫຍື່ອເພື່ອສ້າງລາຍໄດ້ໃຫ້ກັບຜູ້ໃຫ້ບໍລິການ ຈຶ່ງມີຄວາມເປັນໄປໄດ້ວ່າ Xamalicious ຈະໂຈມຕີຜ່ານ ad-fraud app ທີ່ຕິດຕັ້ງເທິງເຄື່ອງເປົ້າໝາຍ ສົ່ງຜົນໃຫ້ປະສິດທິພາບຂອງ Processor ແລະ ແບນວິດເຄືອຂ່າຍຫຼຸດລົງ.
ເຖິງແມ່ນວ່າ Google Play ຈະຍັງມີຄວາມສ່ຽງຕໍ່ການອັບໂຫຼດມັນແວແອັບ ແຕ່ກໍ່ໄດ້ລິເລີ່ມໂຄງການ App Defense Alliance ທີ່ມີເປົ້າໝາຍເພື່ອກວດຈັບ ແລະ ລຶບໄພຄຸກຄາມໃໝ່ໆ ທີ່ປະກົດເທິງ App Store. ດັ່ງນັ້ນ, ຜູ້ໃຊ້ Android ຄວນຫຼີກລ້ຽງການດາວໂຫຼດແອັບຈາກ third-party ແລະ ດາວໂຫຼດສະເພາະແອັບທີ່ຈຳເປັນຕ້ອງໃຊ້ງານເທົ່ານັ້ນ.
ເອກະສານອ້າງອີງ:
- https://www.bleepingcomputer.com/news/security/new-xamalicious-android-malware-installed-330k-times-on-google-play/
- https://www.i-secure.co.th/2024/01/%e0%b8%a1%e0%b8%b1%e0%b8%a5%e0%b9%81%e0%b8%a7%e0%b8%a3%e0%b9%8c-xamalicious-%e0%b8%95%e0%b8%b1%e0%b8%a7%e0%b9%83%e0%b8%ab%e0%b8%a1%e0%b9%88%e0%b8%9a%e0%b8%99-android-%e0%b8%96%e0%b8%b9%e0%b8%81/
ລາຍການຮູບ
