พบ Xenomorph มัลแวร์ตัวใหม่กระจายอยู่ใน Play Store บนแอนดรอยด์ เพื่อขโมยข้อมุลจากแอปธนาคาร เบื้องต้นมีเหยื่อ หลงเชื่อโหลดไปแล้วกว่า 50,000 ครั้ง

ตัวมัลแวร์ Xenomorph นั้นยังอยู่ในช่วงแรกของการพัฒนา ตั้งเป้าขโมยข้อมูลผู้ใช้ในสเปน, โปรตุเกส, อิตาลีและเบลเยี่ยม โดยนักวิจัยด้านความปลอดภัยจาก ThreatFabric เป็นผู้ค้นพบมัลแวร์ตัวนี้ ซึ่งโค้ดและการทำงานคล้ายโทรจัน Alien ที่เคยระบาดก่อนหน้านี้ ซึ่งคาดว่าน่าจะมาจากนักพัฒนาคนเดียวกัน โดยมันจะเน้นขโมยข้อมูลที่มีความอ่อนไหวอย่างข้อมูลการเงิน ยึดบัญชีธนาคารแล้วทำธุรกรรมโดยที่เราไม่อนุญาต รวมถึงขายข้อมูลต่อให้บริษัทที่สนใจ

Code similarities between Xenomorph and Alien
Code similarities between Xenomorph and Alien (ThreatFabric)

เจ้ามัลแวร์ Xenomorph นั้นแฝงเข้ามาใน Google Play Store กับแอปเพิ่มประสิทธิภาพการทำงานให้ตัวเครื่อง อย่าง  “Fast Cleaner” ซึ่งตอนนี้มีคนโหลดไปใช้งานแล้วกว่า  50,000 ครั้ง เนื่องจากคนนิยมโหลดแอปประเภทนี้เพื่อให้อุปกรณ์ของตัวเองทำงานได้ดีขึ้น

ส่วนความสามารถของ Xenomorph นั้นยังไม่ได้ทำงานได้สมบูรณ์ 100% เพราะมันยังอยู่ในช่วงของการพัฒนา แต่หน้าที่หลักของมันคือขโมยข้อมูลการเงินที่ตั้งเป้าอย่างน้อย 56 ธนาคารในยุโรป เช่น ขโมยการแจ้งเตือน, SMS และใช้ overlay attacks เพื่อขโมยข้อมูลและ OTP

มันสามารถหลบหลีกการตรวจสอบจาก Play Store เพราะ Fast Cleaner จะไม่มีโค้อผิดปกติใดๆ แต่หลังจากติดตั้ง Fast Cleaner แล้วมันถึงจะค่อยอัปเดตโหลดมัลแวร์ลงเครื่อง โดยจะขอเข้าถึงบริการ Accessibility

Trojanized app requesting Accessibility permissions
Trojanized app requesting Accessibility permissions (ThreatFabric)

 

เพื่อป้องกันตัวเองจากมัลแวร์ เขาแนะนำว่าให้เราอ่านรายละเอียดของแอปนั้นๆก่อน ถ้าหากมีการเคลมที่อวดอ้างเกินความเป็นจริง ก็ให้ตั้งข้อสงสัยไว้ก่อน รวมถึงอ่านรีวิวจากคนที่โหลดไปใช้งายก่อนหน้านี้ก็จะช่วยระวังได้ในระดับนึง

ที่มา bleepingcomputer