มัลแวร์มือถือ FireScam
ภัยคุกคามระบบแอนดรอยด์ที่เพิ่งถูกระบุชื่อใหม่ว่า FireScam ได้รับการเปิดเผยออกมาแล้ว โดยภัยคุกคามนี้ปลอมตัวเป็นแอปส่งข้อความ Telegram เวอร์ชันปรับปรุงใหม่ กลวิธีหลอกลวงนี้ทำให้ซอฟต์แวร์ที่คุกคามสามารถดึงข้อมูลที่ละเอียดอ่อนของผู้ใช้และรักษาการเข้าถึงระยะไกลไปยังอุปกรณ์ที่ถูกบุกรุกได้อย่างต่อเนื่อง
สารบัญ
การปลอมตัวที่ชาญฉลาด: แอปพลิเคชั่น Telegram Premium ปลอม
FireScam เผยแพร่ภายใต้หน้ากากของแอปพลิเคชัน Telegram Premium ปลอม โดยแพร่กระจายผ่านเว็บไซต์ฟิชชิ่งที่โฮสต์บน GitHub.io ซึ่งแอบอ้างตัวเป็น RuStore ซึ่งเป็นตลาดแอปพลิเคชันชื่อดังในรัสเซีย นักวิเคราะห์ด้านความปลอดภัยอธิบายว่าภัยคุกคามบนอุปกรณ์พกพานี้มีความซับซ้อนและปรับตัวได้สูง เมื่อติดตั้งแล้ว จะดำเนินกระบวนการติดเชื้อหลายขั้นตอน โดยเริ่มจาก APK ดรอปเปอร์ที่ช่วยให้ติดตามได้อย่างกว้างขวาง
เว็บไซต์หลอกลวง rustore-apk.github.io เลียนแบบอินเทอร์เฟซของ RuStore และได้รับการออกแบบมาเพื่อหลอกให้ผู้ใช้ดาวน์โหลดไฟล์ APK dropper ชื่อ "GetAppsRu.apk"
บทบาทของ Dropper ในการโจมตีของ FireScam
หลังจากติดตั้งแล้ว ดรอปเปอร์จะทำหน้าที่เป็นกลไกการส่งมอบข้อมูลหลัก ส่วนประกอบหลักนี้มีหน้าที่ในการรวบรวมและส่งข้อมูลที่ละเอียดอ่อน เช่น ข้อความ การแจ้งเตือน และข้อมูลแอปพลิเคชัน ไปยัง Firebase Realtime Database
เพื่อเสริมความแข็งแกร่งในการควบคุม ดรอปเปอร์จะขอสิทธิ์หลายรายการ ซึ่งรวมถึงการเข้าถึงที่จัดเก็บข้อมูลภายนอก และความสามารถในการติดตั้ง อัปเดต หรือลบแอปพลิเคชันบนอุปกรณ์ Android ที่ใช้เวอร์ชัน 8 ขึ้นไป
ประเด็นที่น่ากังวลอย่างหนึ่งของ FireScam คือการใช้ประโยชน์จากสิทธิ์ ENFORCE_UPDATE_OWNERSHIP คุณลักษณะของ Android นี้อนุญาตให้โปรแกรมติดตั้งดั้งเดิมของแอปพลิเคชันกลายเป็น "เจ้าของการอัปเดต" ซึ่งหมายความว่าเฉพาะเจ้าของที่ได้รับมอบหมายเท่านั้นที่สามารถเริ่มการอัปเดตได้ ด้วยการใช้กลไกนี้ FireScam สามารถบล็อกการอัปเดตที่ถูกต้องจากแหล่งอื่นได้ ทำให้มั่นใจได้ว่าการอัปเดตจะยังคงปรากฏบนอุปกรณ์ที่ติดไวรัส
คุณสมบัติการหลบเลี่ยงและการเฝ้าระวังขั้นสูง
FireScam ใช้เทคนิคการเข้ารหัสเพื่อต่อต้านการตรวจจับและการวิเคราะห์ โดยจะคอยตรวจสอบการแจ้งเตือนขาเข้า การเปลี่ยนแปลงในสถานะหน้าจอ กิจกรรมของผู้ใช้ เนื้อหาในคลิปบอร์ด และแม้แต่ธุรกรรมออนไลน์ นอกจากนี้ ภัยคุกคามยังสามารถดาวน์โหลดและประมวลผลรูปภาพจากเซิร์ฟเวอร์ระยะไกลได้ ซึ่งช่วยเพิ่มความสามารถในการเฝ้าระวังอีกชั้นหนึ่ง
เมื่อเปิดใช้งาน แอป Telegram Premium ที่เป็นอันตรายจะขออนุญาตเข้าถึงรายชื่อผู้ติดต่อ บันทึกการโทร และข้อความ SMS ของผู้ใช้ จากนั้นจะแสดงหน้าเข้าสู่ระบบที่สะท้อนเว็บไซต์ Telegram อย่างเป็นทางการผ่าน WebView โดยพยายามรวบรวมข้อมูลประจำตัวของผู้ใช้ อย่างไรก็ตาม กระบวนการรวบรวมข้อมูลจะเริ่มต้นขึ้นแม้ว่าผู้ใช้จะไม่ได้ป้อนรายละเอียดการเข้าสู่ระบบก็ตาม
การรักษาการเข้าถึงระยะไกลอย่างต่อเนื่อง
ฟังก์ชันที่อันตรายอย่างหนึ่งของ FireScam คือความสามารถในการลงทะเบียนเพื่อรับการแจ้งเตือน Firebase Cloud Messaging (FCM) ซึ่งช่วยให้ภัยคุกคามสามารถรับคำสั่งจากระยะไกลและรักษาการเข้าถึงอุปกรณ์อย่างลับๆ ได้อย่างต่อเนื่อง นอกจากนี้ ยังสร้างการเชื่อมต่อ WebSocket กับเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) เพื่ออำนวยความสะดวกในการขโมยข้อมูลและดำเนินการที่ไม่ปลอดภัยอื่นๆ
ส่วนประกอบที่เป็นอันตรายอื่นๆ และคำถามที่ยังไม่ได้รับคำตอบ
นักวิจัยยังระบุสิ่งประดิษฐ์ที่เป็นอันตรายอีกชนิดหนึ่งที่โฮสต์อยู่บนโดเมนฟิชชิ่ง ซึ่งเรียกว่า "CDEK" ชื่อนี้อาจอ้างอิงถึงบริการด้านโลจิสติกส์และการติดตามพัสดุของรัสเซีย ซึ่งบ่งชี้ถึงกิจกรรมที่เป็นอันตรายที่กว้างขวางกว่า FireScam เพียงอย่างเดียว
ยังไม่ชัดเจนว่าใครอยู่เบื้องหลังการดำเนินการนี้หรือผู้ใช้ถูกนำทางไปยังลิงก์ฟิชชิ่งเหล่านี้ได้อย่างไร กลวิธีที่เป็นไปได้อาจเกี่ยวข้องกับการฟิชชิ่งทาง SMS (smishing) หรือแคมเปญโฆษณาแฝง โดยการเลียนแบบบริการที่ถูกกฎหมาย เช่น RuStore เว็บไซต์หลอกลวงเหล่านี้ใช้ความไว้วางใจของผู้ใช้เพื่อโน้มน้าวให้บุคคลอื่นดาวน์โหลดแอปพลิเคชันหลอกลวง
ความสามารถของ FireScam ในการขโมยข้อมูลและดำเนินการเฝ้าระวังเน้นย้ำถึงความเสี่ยงที่เกี่ยวข้องกับวิธีการกระจายข้อมูลแบบฟิชชิ่ง กรณีนี้เน้นย้ำถึงความท้าทายที่เกิดขึ้นอย่างต่อเนื่องในการปกป้องผู้ใช้ Android จากภัยคุกคามที่ใช้ประโยชน์จากวิศวกรรมสังคมและความไว้วางใจในแพลตฟอร์มที่เป็นที่รู้จัก
