มัลแวร์ SecuriDropper 'หลบเลี่ยง' อุปสรรคด้านความปลอดภัยบนโทรศัพท์ Android

ตามรายงานของ The Hacker News มัลแวร์ดรอปเปอร์ของ Android ได้รับการออกแบบมาเพื่อทำหน้าที่เป็นช่องทางในการติดตั้งโค้ดที่เป็นอันตรายบนอุปกรณ์ ทำให้กลายเป็นรูปแบบธุรกิจที่ทำกำไรให้กับผู้โจมตี นอกจากนี้ยังโฆษณาความสามารถนี้ให้กลุ่มอาชญากรอื่นๆ ทราบอีกด้วย

การตั้งค่าแบบจำกัดเป็นฟีเจอร์ด้านความปลอดภัยที่เปิดตัวใน Android 13 ซึ่งป้องกันไม่ให้แอปที่ไม่ใช่จาก Google Play Store เข้าถึงฟังก์ชันการเข้าถึงและการแจ้งเตือน หากพบว่าแอปใดขอสิทธิ์เหล่านี้ การตั้งค่าแบบจำกัดจะแจ้งเตือนและป้องกันไม่ให้ผู้ใช้ให้สิทธิ์เหล่านี้แก่แอปนั้นทันที

คุณหวู หง็อก เซิน ผู้อำนวยการฝ่ายเทคนิคของบริษัท NCS ซึ่งเป็นบริษัท เทคโนโลยี ความมั่นคงปลอดภัยไซเบอร์แห่งชาติเวียดนาม กล่าวว่า สิทธิการเข้าถึง (Accessibility) เป็นสิทธิที่แอปพลิเคชันปลอมแปลงมัลแวร์ของหน่วยงานรัฐนำมาใช้เพื่อควบคุมโทรศัพท์และขโมยเงินจากผู้ใช้ในเวียดนามในอดีต แม้กระทั่งกรณีที่เหยื่อสูญเสียเงินมากกว่า 2 พันล้านดองภายในเวลาเพียงไม่กี่นาที มัลแวร์เหล่านี้สามารถเจาะระบบได้เฉพาะโทรศัพท์ที่ใช้ระบบปฏิบัติการ Android 12 หรือต่ำกว่าเท่านั้น ในขณะที่โทรศัพท์ที่ใช้ระบบปฏิบัติการ Android 13 หรือ 14 จะถูกตรวจจับและบล็อกโดยการตั้งค่าแบบจำกัด

อย่างไรก็ตาม เทคนิคใหม่ที่แฮกเกอร์ใช้ใน SecuriDropper คือการแบ่งขั้นตอนการติดตั้งออกเป็นหลายขั้นตอน ขั้นแรก หลอกให้ติดตั้งซอฟต์แวร์ปลอมโดยไม่ได้รับอนุญาตพิเศษลงในอุปกรณ์ของเหยื่อ จากนั้น ซอฟต์แวร์จะเรียก API ของ Android เพื่อปลอมเซสชันการติดตั้ง Google Play ซึ่งทำให้สามารถติดตั้งมัลแวร์ลงในโทรศัพท์และข้ามการตั้งค่าที่จำกัดได้

Mã độc SecuriDropper đã qua mặt hàng rào an ninh trên điện thoại Android - Ảnh 1. — วิธีการเจาะระบบของ SecuriDropper ได้ข้ามผ่านอุปสรรคด้านความปลอดภัยของ Android 14

ขณะนี้มัลแวร์สามารถขอสิทธิ์การเข้าถึงและสิทธิ์การเข้าถึงการแจ้งเตือน (Accessibility and Notification Listener) ได้โดยไม่ถูกตรวจพบหรือบล็อกโดยระบบปฏิบัติการ แม้แต่ผู้ใช้ที่อัปเกรดเป็น Android 14 เวอร์ชันล่าสุดก็ยังสามารถถูกโจมตีจากมัลแวร์ได้ด้วยวิธีนี้

ThreatFabric บริษัทด้านความปลอดภัยทางไซเบอร์จากเนเธอร์แลนด์ กล่าวว่าได้สังเกตเห็นโทรจันทางธนาคาร เช่น SpyNote และ ERMAC ที่แพร่กระจายผ่าน SecuriDropper บนเว็บไซต์ฟิชชิ่งและแพลตฟอร์มของบุคคลที่สาม เช่น Discord

Google ตอบโต้ The Hacker News โดยระบุว่าการตั้งค่าแบบจำกัดจะเพิ่มระดับการป้องกันเพิ่มเติมนอกเหนือจากความยินยอมของผู้ใช้ ซึ่งจำเป็นสำหรับแอปในการเข้าถึงการตั้งค่า/สิทธิ์ของ Android นอกจากนี้ ผู้ใช้ยังได้รับการปกป้องโดย Google Play Protect ซึ่งสามารถแจ้งเตือนหรือบล็อกแอปที่มีพฤติกรรมอันตรายบนอุปกรณ์ Android ที่ใช้บริการ Google Play ได้ Google กำลังตรวจสอบช่องโหว่การโจมตีและปรับปรุงการป้องกันมัลแวร์ของ Android อย่างต่อเนื่องเพื่อช่วยให้ผู้ใช้ปลอดภัย

เพื่อความปลอดภัยจากการโจมตี นาย Vu Ngoc Son แนะนำให้ผู้ใช้ Android หลีกเลี่ยงการดาวน์โหลดไฟล์ APK จากแหล่งที่ไม่น่าเชื่อถือ

ลิงค์ที่มา