เนโครโทรจัน
ในปี 2019 นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบปัญหาที่น่ากังวล: แอปพลิเคชัน Android ที่ถูกกฎหมายบน Google Play Store ถูกบุกรุกโดยไลบรารีของบุคคลที่สามซึ่งนักพัฒนาใช้เพื่อสร้างรายได้จากโฆษณา การปรับเปลี่ยนนี้ส่งผลให้มีอุปกรณ์ 100 ล้านเครื่องเชื่อมต่อกับเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ซึ่งจากนั้นจึงนำเพย์โหลดที่ซ่อนอยู่มาใช้
สถานการณ์ที่คล้ายกันได้เกิดขึ้นอีกครั้งแล้ว ผู้เชี่ยวชาญด้าน Infosec ได้ระบุแอปพลิเคชันใหม่ 2 ตัวที่ดาวน์โหลดจาก Google Play แล้ว 11 ล้านครั้ง ซึ่งติดมัลแวร์ตระกูลเดียวกัน ดูเหมือนว่าชุดพัฒนาซอฟต์แวร์ที่ไม่ปลอดภัยซึ่งใช้ในการผสานรวมฟีเจอร์โฆษณาจะเป็นสาเหตุอีกครั้ง
สารบัญ
SDK คืออะไร?
ชุดพัฒนาซอฟต์แวร์หรือ SDK มอบกรอบงานสำเร็จรูปให้กับนักพัฒนา ซึ่งจะทำให้กระบวนการสร้างแอปพลิเคชันง่ายขึ้นและเร็วขึ้นด้วยการจัดการงานประจำ ในกรณีนี้ โมดูล SDK ที่ไม่ผ่านการตรวจสอบ ซึ่งดูเหมือนว่าจะออกแบบมาเพื่อรองรับการแสดงโฆษณา ได้ถูกผสานรวมเข้ากับแอปพลิเคชัน อย่างไรก็ตาม ลึกลงไปใต้พื้นผิว โมดูล SDK ดังกล่าวช่วยให้สามารถใช้วิธีการขั้นสูงในการสื่อสารกับเซิร์ฟเวอร์ที่ถูกบุกรุกได้อย่างลับๆ ซึ่งทำให้แอปพลิเคชันสามารถอัปโหลดข้อมูลผู้ใช้และดาวน์โหลดโค้ดที่เป็นอันตราย ซึ่งสามารถเรียกใช้หรืออัปเดตได้ทุกเมื่อ
นีโครโทรจันติดเชื้ออุปกรณ์ได้อย่างไร?
กลุ่มมัลแวร์ที่อยู่เบื้องหลังแคมเปญทั้งสองนี้เรียกว่า Necro และในกรณีนี้ มัลแวร์บางตัวใช้เทคนิคขั้นสูง เช่น การซ่อนข้อมูล ซึ่งเป็นวิธีการบดบังที่หายากในภัยคุกคามบนอุปกรณ์พกพา มัลแวร์บางตัวยังใช้วิธีการที่ซับซ้อนเพื่อส่งรหัสปลอมที่สามารถทำงานด้วยสิทธิ์ของระบบที่สูงขึ้น เมื่ออุปกรณ์ติดไวรัสแล้ว อุปกรณ์จะสื่อสารกับเซิร์ฟเวอร์ Command-and-Control ที่ผู้โจมตีควบคุม โดยจะส่งข้อมูล JSON ที่เข้ารหัสซึ่งรายงานรายละเอียดเกี่ยวกับอุปกรณ์ที่ถูกบุกรุกและแอปพลิเคชันที่โฮสต์โมดูลปลอม
จากนั้นเซิร์ฟเวอร์จะตอบกลับด้วยข้อความ JSON ที่มีลิงก์ไปยังรูปภาพ PNG และเมตาดาต้าที่มีแฮชของรูปภาพ หากโมดูลบนอุปกรณ์ที่ติดไวรัสตรวจสอบแฮชแล้ว โมดูลจะดำเนินการดาวน์โหลดรูปภาพ
นักวิจัยอธิบายว่าโมดูล SDK ใช้อัลกอริทึมสเตกาโนกราฟีแบบง่ายๆ เมื่อผ่านการตรวจสอบ MD5 แล้ว โมดูลจะแยกเนื้อหาของไฟล์ PNG โดยเฉพาะค่าพิกเซลจากช่อง ARGB โดยใช้เครื่องมือ Android มาตรฐาน วิธี getPixel จะดึงค่าที่ไบต์ที่มีนัยสำคัญน้อยที่สุดมีช่องสีน้ำเงินของภาพ จากนั้นมัลแวร์จะเริ่มประมวลผลจากตรงนั้น
เนโครโทรจันอาจก่อให้เกิดผลร้ายแรง
โหลดที่ตามมาซึ่งติดตั้งโดยมัลแวร์จะดาวน์โหลดปลั๊กอินปลอมที่สามารถปรับแต่งได้สำหรับแต่ละอุปกรณ์ที่ติดไวรัสเพื่อดำเนินการต่างๆ ปลั๊กอินดังกล่าวตัวหนึ่งอนุญาตให้โค้ดทำงานด้วยสิทธิ์ของระบบที่สูงขึ้น โดยปกติแล้ว Android จะจำกัดกระบวนการที่มีสิทธิพิเศษจากการใช้ WebView ซึ่งเป็นส่วนประกอบสำหรับแสดงหน้าเว็บภายในแอปพลิเคชัน เพื่อเอาชนะข้อจำกัดนี้ Necro ใช้เทคนิคที่เรียกว่าการโจมตีแบบสะท้อนกลับเพื่อสร้างการเกิดขึ้นแยกกันของโรงงาน WebView
นอกจากนี้ปลั๊กอินนี้ยังสามารถดาวน์โหลดและเรียกใช้ไฟล์อื่นๆ ที่แก้ไขลิงก์ที่แสดงผ่าน WebView ได้ ด้วยสิทธิ์ระบบที่สูงขึ้น ไฟล์ปฏิบัติการเหล่านี้สามารถเปลี่ยนแปลง URL เพื่อแทรกโค้ดยืนยันสำหรับการสมัครสมาชิกแบบชำระเงิน และดาวน์โหลดและเรียกใช้โค้ดจากลิงก์ที่ผู้โจมตีควบคุม นักวิจัยระบุเพย์โหลดที่แตกต่างกันห้ารายการระหว่างการวิเคราะห์ Necro นอกจากนี้ โครงสร้างโมดูลาร์ของ Necro ยังให้วิธีการมากมายสำหรับการทำงานของมัลแวร์
พบ Necro Trojan ในแอพพลิเคชั่นสองรายการ
นักวิจัยระบุ Necro ในแอปพลิเคชันสองตัวบน Google Play หนึ่งในนั้นคือ Wuta Camera ซึ่งมียอดดาวน์โหลด 10 ล้านครั้ง Wuta Camera เวอร์ชัน 6.3.2.148 ถึง 6.3.6.148 มี SDK ที่เป็นอันตรายซึ่งเป็นสาเหตุของการติดเชื้อ แต่แอปพลิเคชันนี้ได้รับการอัพเดตเพื่อกำจัดส่วนประกอบที่เป็นอันตรายแล้ว แอปพลิเคชันอื่นคือ Max Browser ซึ่งมียอดดาวน์โหลดประมาณ 1 ล้านครั้งก็ถูกบุกรุกเช่นกัน อย่างไรก็ตาม แอปพลิเคชันนี้ไม่มีให้บริการบน Google Play อีกต่อไป
นอกจากนี้ นักวิจัยยังพบไวรัส Necro แพร่ระบาดในแอปพลิเคชัน Android มากมายที่วางจำหน่ายในตลาดทางเลือก แอปพลิเคชันเหล่านี้มักถูกนำเสนอในรูปแบบเวอร์ชันดัดแปลงของแอปพลิเคชันที่ถูกกฎหมาย เช่น Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer และ Melon Sandbox
