อุปกรณ์ Android 11 ล้านเครื่องติดมัลแวร์จาก Google Play

รายงานจาก Kaspersky แสดงให้เห็นว่าอุปกรณ์ Android มากกว่า 11 ล้านเครื่องได้รับการติดมัลแวร์ Necro ผ่านทางแอปพลิเคชันสองตัวที่ดูเหมือนจะไม่เป็นอันตรายบน Google Play

สารบัญ

• 31 แอปฯ ขโมยข้อมูลบัญชีธนาคาร ควรลบทิ้งทันที (3 กันยายน 2567)
• มัลแวร์ NGate ใช้เครื่องอ่าน NFC เพื่อขโมยเงินของเหยื่อ (27 สิงหาคม)
• คำเตือน: มัลแวร์ตัวใหม่มีความเชี่ยวชาญในการขโมยเงินและล้างข้อมูลอุปกรณ์ Android
• วิธีตรวจสอบว่าสมาร์ทโฟนของคุณมีแอพที่เป็นอันตรายติดตั้งอยู่หรือไม่
• วิธีการลบแอพที่เป็นอันตรายบนสมาร์ทโฟน Android

Necro ถูกค้นพบครั้งแรกในปี 2019 ในแอปการจดจำข้อความ CamScanner โดยมียอดดาวน์โหลดมากกว่า 100 ล้านครั้งบน Google Play

เมื่อเร็วๆ นี้ นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบว่า Necro ได้ปรากฏขึ้นอีกครั้งทั้งในแอปยอดนิยมบน Google Play และในเวอร์ชันแอปต่างๆ บนเว็บไซต์ที่ไม่เป็นทางการ มัลแวร์เวอร์ชันใหม่นี้ได้รับการอัพเกรดด้วยคุณสมบัติเพิ่มเติม

ผู้เชี่ยวชาญของ Kaspersky เชื่อว่าผู้พัฒนาแอปพลิเคชันที่ถูกกฎหมายอาจใช้เครื่องมือผสานรวมโฆษณาที่ไม่ผ่านการตรวจสอบ ซึ่งช่วยให้ Necro แทรกซึมได้

พบว่า Wuta Camera และ Max Browser ซึ่งเป็นแอปยอดนิยม 2 แอปบน Google Play มีมัลแวร์ Necro โดยมียอดดาวน์โหลดรวมกว่า 11 ล้านครั้ง

เนโครสามารถหลีกเลี่ยงระบบรักษาความปลอดภัยได้อย่างง่ายดายโดยใช้เทคนิคที่เรียกว่า สเตกาโนกราฟี เมื่อเข้าไปในอุปกรณ์แล้ว มัลแวร์จะเข้าควบคุม ดาวน์โหลดมัลแวร์เพิ่มเติม และยังสมัครใช้บริการแบบชำระเงินอย่างลับๆ โดยไม่ให้ผู้ใช้ทราบอีกด้วย

ผู้ใช้ควรลบแอปอย่าง Wuta Camera (เวอร์ชันที่ติดไวรัสตั้งแต่ 6.3.2.148 ถึง 6.3.6.148) และ Max Browser ทันที หากมีการติดตั้งไว้

31 แอปฯ ขโมยข้อมูลบัญชีธนาคาร ควรลบทิ้งทันที (3 กันยายน 2567)

แอปที่เป็นอันตรายทั้ง 31 รายการด้านล่างนี้สามารถขโมยข้อมูลการเข้าสู่ระบบบัญชีธนาคารโดยไม่ได้รับอนุญาตจากผู้ใช้

นักวิจัยด้านความปลอดภัยได้ค้นพบมัลแวร์ที่เรียกว่า “Daam” ซึ่งสามารถหลีกเลี่ยงแอปพลิเคชันความปลอดภัยที่ติดตั้งบนสมาร์ทโฟนและก่อให้เกิดผลร้ายแรงต่างๆ มากมาย

ผู้เชี่ยวชาญประเมินว่ามัลแวร์ประเภทนี้มีวิธีการทำงานที่ซับซ้อน สามารถขโมยข้อมูล รวบรวมข้อมูลที่ละเอียดอ่อน ดักฟังและบันทึกการโทรเข้าและออกทั้งหมดบนสมาร์ทโฟนของเหยื่อ รวมถึงการโทรผ่านแอปพลิเคชันเช่น Messenger, Telegram หรือ WhatsApp...

ตามที่ผู้เชี่ยวชาญของ CloudSEK ระบุ มี 3 แอปพลิเคชันที่มีมัลแวร์ Daam:

• แอปพลิเคชัน Psiphon สร้างเครือข่ายส่วนตัวเสมือน (VPN)
• เกมมือถือ Boulders
• แอปพลิเคชั่นแปลงค่าสกุลเงิน Currency Pro

นอกจากนี้ องค์กรวิจัยด้านความปลอดภัยทางข้อมูลระหว่างประเทศยังกล่าวอีกว่า พวกเขาได้ค้นพบแอปพลิเคชัน 28 ตัวที่มีแนวโน้มที่จะแพร่กระจายมัลแวร์ โดยปลอมตัวเป็นแอปพลิเคชันที่มีประโยชน์เพื่อหลอกผู้ใช้ให้ติดตั้งแอปพลิเคชันเหล่านี้ แอปพลิเคชัน 17 รายการแอบอ้างว่าเป็นเครื่องมือ VPN โดยอ้างว่าช่วยให้ผู้ใช้ท่องเว็บได้อย่างปลอดภัยยิ่งขึ้นและซ่อนตัวตนที่แท้จริงบนอินเทอร์เน็ต

28 แอปที่มีโค้ดที่เป็นอันตราย ได้แก่:

• VPN ขนาดเล็ก;
• คีย์บอร์ดแอนิเมชั่น;
• เบลซ สไตรด์;
• Byte Blade VPN;
• Android 12 Launcher;
• Android 13 Launcher:
• ตัวเรียกใช้งาน Android 14;
• ฟีด CaptainDroid;
• ภาพยนตร์คลาสสิกเก่าฟรี;
• การเปรียบเทียบโทรศัพท์
• VPN รวดเร็วบิน;
• VPN ของ Fox ที่รวดเร็ว;
• VPN สายเร็ว;
• แอนิเมชั่นการชาร์จิงสุดฮา
• ขอบรถลีมูซีน;
• โอเค VPN;
• ตัวเปิดแอพโทรศัพท์;
• VPN ไหลรวดเร็ว;
• ตัวอย่าง VPN;
• สายฟ้าที่ปลอดภัย;
• เปล่งประกายความปลอดภัย;
• สปีดเซิร์ฟ;
• Swift Shield VPN;
• TurboTrack VPN เป็นตัวเลือก
• เทอร์โบทันเนล VPN;
• Yellow Flash VPN;
• VPN อุลตร้า;
• รัน VPN

ผู้เชี่ยวชาญเตือนว่าหากอุปกรณ์ของผู้ใช้มีแอปพลิเคชันดังกล่าว ควรลบออกทันทีเพื่อหลีกเลี่ยงความเสี่ยงที่ไม่คาดคิด ในเวลาเดียวกัน เพื่อความปลอดภัย ผู้ใช้ไม่ควรดาวน์โหลดแอปพลิเคชันที่ไม่คุ้นเคย เปิดใช้คุณสมบัติ Google Play Protect ใน Google Play เพื่อป้องกันมัลแวร์ และใช้โซลูชันป้องกันไวรัสที่เชื่อถือได้

มัลแวร์ NGate ใช้เครื่องอ่าน NFC เพื่อขโมยเงินของเหยื่อ (27 สิงหาคม)

บริษัทด้านความปลอดภัยทางไซเบอร์ ESET ค้นพบมัลแวร์ในระบบ Android ที่ใช้เครื่องอ่าน NFC บนอุปกรณ์ที่ติดไวรัสเพื่อดักจับข้อมูลการชำระเงินจากโทรศัพท์และส่งข้อมูลดังกล่าวให้กับผู้ไม่ประสงค์ดี

มัลแวร์นี้ใช้ชุดเครื่องมือ NFCGate เพื่อวิเคราะห์การรับส่งข้อมูล NFC จึงเป็นที่มาของชื่อ NGate

มัลแวร์นี้จะทำให้ผู้ร้ายสามารถถอนเงินหรือชำระเงินค่าซื้อสินค้าที่เครื่องคิดเงินโดยใช้ข้อมูลผู้ใช้ที่ตู้ ATM และเครื่อง POS (จุดขาย)

NGate ทำงานโดยการส่งข้อความโต้ตอบแบบทันทีที่มีลิงก์ไปยังเว็บไซต์ปลอมที่รวบรวมข้อมูลการเข้าสู่ระบบของเหยื่อ โดยขอให้เหยื่อติดตั้งแอปเนื่องจากมีปัญหาเกี่ยวกับการคืนภาษีของพวกเขา จากข้อมูลที่รวบรวม ผู้โจมตีจะสามารถเข้าถึงบัญชีธนาคารของเป้าหมายได้

จากนั้นผู้โจมตีจะปลอมตัวเป็นพนักงานธนาคารโทรหาเหยื่อเพื่อส่งข้อความที่มีลิงก์ไปยังแอป ซึ่งจริงๆ แล้วคือมัลแวร์ NGate ผู้โจมตีจะขอให้เหยื่อเปิดใช้งาน NFC บนโทรศัพท์ของเขาและสแกนการ์ด

ผ่านทางสมาร์ทโฟนที่ถูกบุกรุก NGate สามารถส่งต่อข้อมูล NFC จากบัตรของเหยื่อไปยังสมาร์ทโฟนของผู้โจมตี ซึ่งสามารถเลียนแบบบัตรได้ จากนั้นคนร้ายจะได้รับข้อมูลแบบเรียลไทม์และถอนเงินจากตู้ ATM

ด้วยการป้องกันอัตโนมัติของ Google Play Protect ขณะนี้จึงไม่ตรวจพบแอปที่มี NGate บน Google Play

คำเตือน: มัลแวร์ตัวใหม่มีความเชี่ยวชาญในการขโมยเงินและล้างข้อมูลอุปกรณ์ Android

ผู้เชี่ยวชาญด้านความปลอดภัยได้ค้นพบมัลแวร์ Android ใหม่ที่เรียกว่า 'BingoMod' ซึ่งสามารถขโมยเงินจากบัญชีธนาคารและลบข้อมูลโทรศัพท์ของเหยื่อได้

BingoMod มักปลอมตัวเป็นแอปรักษาความปลอดภัยบนมือถือยอดนิยม โดยเผยแพร่ผ่านข้อความ SMS ฟิชชิ่งเพื่อหลอกให้ผู้ใช้ติดตั้งแอปเหล่านี้ เมื่อติดตั้งแล้ว มัลแวร์จะขอให้ผู้ใช้ให้สิทธิ์การเข้าถึงบริการ ส่งผลให้ควบคุมอุปกรณ์อย่างเต็มรูปแบบเพื่อขโมยข้อมูลรับรองการเข้าสู่ระบบ จับภาพหน้าจอ สกัดกั้นข้อความ และแม้แต่ทำธุรกรรมฉ้อโกงโดยตรงบนอุปกรณ์

ตามผลการวิจัยพบว่าธุรกรรมแต่ละรายการของมัลแวร์นี้สามารถถูกขโมยได้มากถึง 16,000 ดอลลาร์สหรัฐ (ประมาณ 404 ล้านดองเวียดนาม)

นอกจากนี้หลังจากถอนเงินสำเร็จแล้ว BingoMod ยังสามารถลบข้อมูลบนโทรศัพท์ได้อีกด้วย ทำให้เหยื่อไม่สามารถกู้คืนข้อมูลได้

BingoMod ยังคงอยู่ในระหว่างการพัฒนาและจะยิ่งอันตรายมากขึ้นในอนาคตอย่างแน่นอน

ดังนั้นผู้เชี่ยวชาญจึงเตือนผู้ใช้ Android จะต้องระมัดระวังข้อความ SMS ที่มีลิงก์ดาวน์โหลดแอพพลิเคชั่นแปลกๆ เป็นพิเศษ โดยเฉพาะแอพพลิเคชั่นที่มีชื่อเกี่ยวข้องกับความปลอดภัยเพื่อปกป้องบัญชีธนาคารและข้อมูลส่วนบุคคลของพวกเขา นอกจากนี้ ผู้ใช้ควรตรวจสอบข้อมูลของนักพัฒนาและอ่านบทวิจารณ์ของผู้ใช้รายอื่นอย่างละเอียดก่อนที่จะติดตั้งแอปใดๆ

วิธีตรวจสอบว่าสมาร์ทโฟนของคุณมีแอพที่เป็นอันตรายติดตั้งอยู่หรือไม่

ผู้ใช้สามารถใช้ฟีเจอร์ “Play Protect” ที่บูรณาการโดย Google บน CH Play เพื่อตรวจสอบว่าสมาร์ทโฟนของตนได้ติดตั้งแอพพลิเคชั่นที่มีโค้ดที่เป็นอันตรายโดยไม่ได้ตั้งใจหรือไม่

ในการใช้ฟีเจอร์นี้ ผู้ใช้ต้องเข้าถึง ร้านค้าแอป CH Play -> คลิกที่ไอคอนบัญชีที่มุมขวาบน -> เลือกการตั้งค่า " Play Protect " -> คลิกที่ปุ่ม " สแกน "

หลังจากการสแกน หากข้อความ " ไม่พบแอพพลิเคชันที่เป็นอันตราย " ปรากฏขึ้น แสดงว่าโทรศัพท์ของคุณปลอดภัย

อย่างไรก็ตาม คุณสมบัติ Play Protect จะปกป้องสมาร์ทโฟนของคุณจากแอปที่ Google ระบุว่าเป็นอันตรายเท่านั้น ในกรณีที่ Google ไม่ได้ระบุแอพพลิเคชั่นที่มีโค้ดที่เป็นอันตราย ฟีเจอร์นี้จะไม่สามารถเตือนผู้ใช้ได้

วิธีการลบแอพที่เป็นอันตรายบนสมาร์ทโฟน Android

หากต้องการลบแอปพลิเคชันที่เป็นอันตรายบนสมาร์ทโฟน Android คุณต้องเข้าไปที่การตั้งค่า -> เลือก แท็บ แอปพลิเคชัน -> เลือกจัดการแอปพลิเคชัน -> ค้นหาแอปพลิเคชันที่คุณต้องการลบ คลิกที่แอปพลิเคชันนั้นแล้วเลือกถอนการติดตั้ง