คุณตรวจสอบข้อมูลรับรองของแอป Google Play Store อีกครั้งก่อนคลิกปุ่มซื้อบ่อยเพียงใด มันขึ้นอยู่กับสิ่งที่คุณกำลังดาวน์โหลดหรือไม่? จะเกิดอะไรขึ้นหากแอปมีหลายรายการ แอป Google Play Store ยอดนิยมที่มีตัวเลือกการดาวน์โหลดมากมายควรตั้งเสียงเตือนภายในของคุณให้ดังขึ้น และในหลายๆ กรณีอาจเป็นสัญญาณชัดเจนว่ามีหน่วยงานที่เป็นอันตรายกำลังเล่นงาน
ลอกแบบอย่างง่ายดาย แก้ไขได้ง่าย และดูเหมือนง่ายที่จะเลี่ยงการตรวจสอบความปลอดภัยของ Google โทรจันตัวคลิกโป๊ที่เป็นอันตรายกำลังปลอมแปลงเป็นแอปที่ซ้ำกัน กำลังรอที่จะติดอุปกรณ์ของคุณ
พวกเขาแพร่หลายแค่ไหน? โอกาสในการดาวน์โหลดแอปที่เป็นอันตรายคืออะไร? จะเกิดอะไรขึ้นหากคุณดาวน์โหลด และที่สำคัญที่สุด คุณจะหลีกเลี่ยงได้อย่างไร
โทรจัน Porn Clicker
Porn clicker โทรจันนั้นไม่มีอะไรใหม่ ความสำเร็จของพวกเขาสร้างขึ้นจากความตั้งใจและความไร้เดียงสาของผู้ใช้ Android จำนวนมากที่ต้องการดาวน์โหลดแอปและเกมยอดนิยมฟรี โดยเชื่อว่าพวกเขาจะได้รับบางสิ่งบางอย่างโดยเปล่าประโยชน์ เป็นอีกครั้งที่เราเห็นความอ่อนแอทั่วไปของธรรมชาติของมนุษย์ที่ถูกเอารัดเอาเปรียบอย่างมุ่งร้าย
นักวิจัยของบริษัทรักษาความปลอดภัย ESET ระบุผู้คลิกภาพอนาจาร 343 รายระหว่างเดือนสิงหาคม 2558 ถึงกุมภาพันธ์ 2559 โดยนักวิจัยผู้เชี่ยวชาญด้านมัลแวร์ Android Lukáš Štefanko แสดงความคิดเห็นว่า "มีแคมเปญมัลแวร์จำนวนมากบน Google Play แต่ไม่มีแคมเปญอื่นใดที่ใช้เวลานานหรือประสบความสำเร็จในจำนวนมหาศาลเช่นนี้ การพลิกผันที่ประสบความสำเร็จ"
โทรจันปลอมตัวเป็นแอพและเกมที่ได้รับความนิยมมากที่สุด ดึงดูดผู้ใช้หลายพันคนอย่างไม่น่าแปลกใจ ในแง่ของขนาด ตัวคลิกโป๊แต่ละตัวมีการดาวน์โหลดโดยเฉลี่ย 3,600 ครั้ง โดยปลอมแปลงเป็น My Talkin Angela, My Talkin Tom, GTA:San Andreas, GTA:Vice City, Subway Surfers, Hay Day, Temple Run และอีกมากมาย
หมายเหตุ: ปิดเสียงวิดีโอด้านล่างเพื่อสุขภาพจิตของคุณเอง
แอปพลิเคชั่นที่ซ้ำกันของโปรแกรมคลิกโป๊โทรจันใช้กลยุทธ์การสร้างความแตกต่างของผลิตภัณฑ์ที่หลากหลายเพื่อแยกความแตกต่างจากแอปจริง ตัวระบุทั่วไป ได้แก่ ฟรี 201 5, 2016, V1, V2, V3, เวอร์ชันใหม่, F2P และอีกมากมาย ทำให้จุดประสงค์ที่แท้จริงสับสนโดยยังคงให้ใกล้เคียงกับเวอร์ชันจริงมากที่สุด ผู้โจมตีที่เก่งกาจที่สุดจะคัดลอกคำอธิบายผลิตภัณฑ์ ใช้โลโก้ที่เหมือนกัน และพยายามสร้างรีวิวเชิงบวกผ่านบัญชีผู้ใช้ Google Play ที่ถูกบุกรุกอื่น ๆ ก่อนที่รีวิวเชิงลบจะเริ่มทำงาน
รายได้
เป้าหมายหลักของตัวแปรมัลแวร์นี้คือการสร้างรายได้ ผู้คลิกโป๊โทรจันสร้างรายได้จากการคลิกโฆษณาที่สร้างโดยเซิร์ฟเวอร์ของผู้โจมตี และวางบนเว็บไซต์ลามกอนาจาร สิ่งนี้เกิดขึ้นโดยที่ผู้ใช้ที่ติดเชื้อไม่ทราบ และใช้ข้อมูลมือถือราคาแพงอย่างลับๆ
โชคดีที่ Lukáš Štefanko ได้ทดสอบการใช้ข้อมูลของโปรแกรมคลิกโป๊โทรจันบนอุปกรณ์ทั่วไปสองเครื่อง ได้แก่ Samsung Galaxy S3 และ Samsung Galaxy S5 เขาติดตั้งโปรแกรมคลิกโป๊โทรจันที่พบอย่างเปิดเผยบน Google Play Store ในแต่ละอุปกรณ์ จากนั้นปล่อยให้อุปกรณ์ทำงานเป็นเวลาหนึ่งชั่วโมงเพื่อวัดปริมาณการใช้ข้อมูล
การทดสอบของ Štefanko เผยให้เห็นความแปรปรวนเล็กน้อยของปริมาณข้อมูลที่ใช้โดย S3 และ S5 แม้ว่าจะมีข้อมูลเฉลี่ย 146MB หมดภายในหนึ่งชั่วโมง จากการคาดการณ์ Štefanko เชื่อว่าผู้คลิกโป๊โทรจันสามารถใช้ข้อมูลได้มากกว่า 3.5GB ในวันเดียว ทุกวัน. จนกว่าผู้ใช้จะรู้ว่ามีบางอย่างกำลังดำเนินอยู่และพยายามขัดขวางการไหลของข้อมูล
ตัวแปร HummingBad
หากการคุกคามของแอปพลิเคชั่นที่ซ้ำกันซึ่งซ่อนรหัสที่เป็นอันตรายนั้นยังไม่เลวร้ายพอ นักวิจัยด้านความปลอดภัยได้ค้นพบมัลแวร์ Android ที่ทำงานอยู่ซึ่งแพร่กระจายผ่านแคมเปญมัลแวร์ที่กำลังดำเนินอยู่ มัลแวร์ HummingBad แทรกซึมอุปกรณ์ของเหยื่อผ่านโฆษณาที่ติดไวรัสซึ่งแสดงบนเว็บไซต์ลามกอนาจาร
เมื่ออยู่ในอุปกรณ์แล้ว มัลแวร์ HummingBad จะติดตั้งรูทคิต ทำให้ผู้โจมตีสามารถสร้างความเสียหายร้ายแรงและยาวนานต่ออุปกรณ์ของผู้ใช้ ติดตั้งตัวบันทึกคีย์ ขโมยข้อมูล เก็บข้อมูลประจำตัว และหากมีโอกาส ให้เลี่ยงผ่านคอนเทนเนอร์อีเมลที่เข้ารหัส Andrey Polkovnichenko และ Oren Koriat สมาชิกสองคนของทีม Check Research Point ผู้ค้นพบมัลแวร์ HummingBad อธิบายเพิ่มเติมว่าการโจมตีต่อเนื่อง:
"จากนั้นมัลแวร์จะตรวจสอบว่าอุปกรณ์ได้รับการรูทหรือไม่ หากอุปกรณ์ถูกรูท มัลแวร์จะยังคงดำเนินการตามวัตถุประสงค์โดยตรง หากอุปกรณ์ไม่ได้รับการรูท มัลแวร์หลัก XOR จะถอดรหัสไฟล์จากทรัพย์สินที่เรียกว่า right_core.apk (อักขระทุกตัวเป็น XORed เทียบกับ 85) จากนั้น right_core.apk จะถอดรหัสไลบรารีเนทีฟจากไฟล์ชื่อ support.bmp ไลบรารีเนทีฟนี้ใช้เพื่อเปิดใช้การหาประโยชน์หลายครั้งเพื่อพยายามยกระดับสิทธิ์และเข้าถึงรูท"
เช่นเดียวกับมัลแวร์ส่วนใหญ่ ไม่ว่าจะใช้ Android หรือไม่ก็ตาม เมื่อมัลแวร์ทำงานแล้วจะโทรไปที่เซิร์ฟเวอร์คำสั่งและควบคุมเพื่อขอคำแนะนำเพิ่มเติม ซึ่งบางแอปจะติดตั้งแอปที่เป็นอันตรายเพิ่มเติม แอปอื่นๆ ที่ส่งการเข้าชมที่เป็นการฉ้อโกงไปยังเซิร์ฟเวอร์โฆษณาต่างๆ สร้างรายได้
ปัญหาที่กำลังดำเนินอยู่
ปัญหาหลักนอกเหนือจากตัวคลิกโป๊โทรจันจริง ๆ คืออัตราที่แอพที่เป็นอันตรายเหล่านี้ลื่นไถลผ่านเน็ตและไปสิ้นสุดที่ Google Play Store เมื่อได้รับการยอมรับแล้ว แทบจะหลีกเลี่ยงไม่ได้ที่จะมีใครบางคนดาวน์โหลดและเปิดใช้งานแอปนี้ ซึ่งช่วยให้ผู้โจมตีมีรายได้ที่จำเป็นมาก
Google มีตัวกรอง Bouncer ที่ออกแบบมาเพื่อตรวจจับและจำกัดโค้ดที่เป็นอันตรายที่ส่งโดยทั่วไป Google Play Store ยังมีกระบวนการตรวจสอบโดยเจ้าหน้าที่ซึ่งออกแบบมาเพื่อหยุดแอปที่เป็นอันตรายใดๆ ที่เข้าถึงอุปกรณ์ของเรา
นอกจากนี้ Android ยังมีการตั้งค่า "ยืนยันแอป" ในตัวที่ออกแบบมาเพื่อบล็อกการติดตั้งแอปใดๆ ที่อาจเป็นอันตรายต่ออุปกรณ์ของผู้ใช้ โดยปกติแล้วจะเป็นการหยุดการติดตั้ง APK ที่เป็นอันตราย แม้ว่านักวิจัยด้านความปลอดภัยจะสังเกตเห็นว่าระบบจะเข้ามาใช้งานได้ก็ต่อเมื่อแอปนั้นถูกลบออกจาก Google Play Store ไปก่อนหน้านี้แล้วเท่านั้น เนื่องจากแอปที่ซ้ำกันแต่ละแอปมีการปรับแต่งเล็กน้อยในโค้ดที่เป็นอันตรายที่ทำงานอยู่ ตลอดจนกลยุทธ์การทำให้งงงวยเพื่อให้มีอายุยืนยาว จุดประสงค์ที่แท้จริงของพวกมันจึงถูกบดบังไว้ ระบบเหล่านี้ใช้งานไม่ได้อย่างชัดเจน
อย่างไรก็ตาม มีการป้องกันอย่างหนึ่งที่ผู้ใช้ควรคำนึงถึง:บทวิจารณ์เชิงลบของผู้ใช้ ในฐานะที่เป็นระบบรักษาความปลอดภัยระบบเดียวที่ผู้ใช้จริงมองข้ามได้ มีเหยื่อไม่เพียงพอที่จะดำเนินการตรวจสอบวิเคราะห์สถานะของตนเองและอ่านบทวิจารณ์ของผู้ใช้ บทวิจารณ์เชิงลบมักเกิดขึ้นด้วยเหตุผล
ในกรณีของแอพที่เป็นอันตราย ผู้ใช้ที่ถูกต่อยให้สิ่งจำเป็นอย่างมาก แม้ว่าจะไม่สนใจเน็ตเวิร์กก็ตาม คุณต้องดูจำนวนการดาวน์โหลดที่จริงจังเท่านั้นจึงจะเข้าใจว่ามีกี่คนที่เพิกเฉยต่อบทวิจารณ์เชิงลบ จากนั้นจึงดาวน์โหลดแอปที่เป็นอันตรายเมื่อสัญญาณทั้งหมดส่งเสียงร้อง ST O P .
คุณสามารถอยู่อย่างปลอดภัย
อีกด้านหนึ่งของปัญหาคือการศึกษา ฉันมักจะตรวจสอบรีวิวก่อนดาวน์โหลดเสมอ ดูเหมือนชัดเจนมากสำหรับฉัน และอะไรก็ตามที่มีบทวิจารณ์เชิงลบจำนวนมาก หรือการว่ายน้ำในระดับหนึ่งดาว อย่างน้อยสำหรับฉัน ถือว่าไม่ปฏิเสธอย่างมาก
คนอื่นไม่ได้ห้ามง่ายๆ แต่คุณควรสละเวลาอันมีค่าสองสามนาทีเพื่อตรวจสอบแอปอีกครั้งก่อนดาวน์โหลด:
- ตรวจสอบ แอพรีวิว หากมันแย่มาก อย่าดาวน์โหลดมัน!
- ตรวจสอบ สำหรับแอปที่ซ้ำกัน น่าจะมีรุ่นเดียวเท่านั้น!
- ตรวจสอบ ชื่อผู้พัฒนาและจำนวนการดาวน์โหลด แอพที่ได้รับความนิยมอย่างมากจะมีการดาวน์โหลดหลายล้านครั้งควบคู่ไปกับชื่อผู้พัฒนาที่คาดไว้เช่น GTA:ซานแอนเดรียส มี Rockstar Games เป็นผู้พัฒนาที่มีชื่อ มีบทวิจารณ์ทั้งหมดมากกว่า 175k และดาวน์โหลดน้อยกว่า 1,000,000 ครั้งตามที่คุณคาดหวังจากเกมที่ได้รับความนิยมอย่างมาก
- ตรวจสอบ ชื่อแอปสำหรับสร้างความแตกต่างเช่น ฟรี 201 5, 2016, V1, V2, V3, เวอร์ชันใหม่, และ F2P และอ้างอิงโยงออนไลน์
- ตรวจสอบ "[ชื่อแอป]+มัลแวร์" ในการค้นหาของ Google ควรเปิดเผยแคมเปญมัลแวร์ที่กำลังดำเนินอยู่อย่างรวดเร็ว
- ตรวจสอบ "[ชื่อแอป]+การขาย" ในการค้นหาของ Google แอพที่ต้องซื้อจะไม่ฟรีทันที ไม่ใช่เรื่องแปลก แต่เป็นเรื่องแปลกอย่างแน่นอน
ในที่สุด Android และมัลแวร์มือถืออื่น ๆ ก็เพิ่มขึ้นเรื่อย ๆ เช่นเดียวกับที่เราเห็นการเพิ่มขึ้นของแรนซัมแวร์ขั้นสูงบนแล็ปท็อปและพีซี ผู้โจมตีมีความชาญฉลาดต่อช่องโหว่ทั่วไปในระบบปฏิบัติการที่ได้รับความนิยมมากที่สุด เช่นเดียวกับข้อบกพร่องที่เห็นได้ชัดในจิตใจของมนุษย์ อย่าปล่อยให้ตัวเองกลายเป็นส่วนหนึ่งของสถิติ!
คุณเคยตกเป็นเหยื่อของ Android porn clicker หรือไม่? คุณรู้ได้อย่างไร และคุณกำจัดมันได้อย่างไร? แจ้งให้เราทราบด้านล่าง!
