เมื่อดาวน์โหลดแอปสำหรับ Android เป็นเรื่องปกติที่จะใช้แอป Google Play เท่านั้น ท้ายที่สุดใครจะรู้ว่ามัลแวร์ประเภทใดที่รวมอยู่ในแอพที่ดาวน์โหลดจากเว็บไซต์สุ่ม ด้วยเหตุนี้ Google Play จึงเป็นสถานที่สำหรับการดาวน์โหลดแอปที่ปลอดภัยและเชื่อถือได้ น่าเสียดาย แม้ว่าจะเป็นที่ที่ดีที่สุดในการรับแอป แต่ก็ไม่สามารถป้องกันได้อย่างแน่นอน!
ล่าสุด มีการค้นพบว่ากลุ่มมัลแวร์ Android ที่เรียกว่า FalseGuide สามารถแพร่ระบาดในโทรศัพท์ Android ได้ถึง 2 ล้านเครื่อง สิ่งนี้เกิดขึ้นได้อย่างไร และมีความหมายอย่างไรต่อแอปโดยรวม
วิธีการ
ชื่อ “FalseGuide” บอกวิธีการแจกจ่ายแอพ พวกเขาใช้ตัวพิมพ์ใหญ่ในแอพแนะนำเกม ซึ่งเป็นชุดย่อยของแอพยอดนิยมบน Android Store นักเล่นเกมมักจะมองหาคำแนะนำสำหรับเกมที่พวกเขาเล่น เพราะมันยากหรือมีกลไกที่ซ่อนอยู่ แม้ว่าการค้นหาคู่มือออนไลน์จะไม่ใช่นวัตกรรมใหม่ แต่แอปได้นำคำแนะนำเหล่านั้นมาสู่รูปแบบอินเทอร์แอกทีฟรูปแบบใหม่ ซึ่งหมายความว่าเกมเมอร์ทั่วโลกกำลังเยี่ยมชม Google Play เพื่อหาแอปเพื่อช่วยเอาชนะเกมที่กำลังเล่นอยู่
นักพัฒนามัลแวร์ลักลอบนำเข้า FalseGuide โดยปลอมแปลงเป็นคู่มือเกม คู่มือที่เป็นอันตรายเหล่านี้เขียนขึ้นสำหรับรายการยอดนิยม เช่น Terraria และ World of Tanks เพื่อให้แน่ใจว่ามีการกระจายสูงสุด เมื่ออัปโหลดแล้ว พวกเขาต้องรอให้คนดาวน์โหลดคู่มือเป็นพันๆ สัญญาณแรกว่ามีบางอย่างผิดปกติในโลกของคู่มือเกมปรากฏขึ้นเมื่อวันที่ 24 เมษายน 2017 แต่แอปที่เก่าที่สุดที่พบพร้อมกับมัลแวร์ติดตั้งถูกอัปโหลดไปยัง Google Play เมื่อวันที่ 14 กุมภาพันธ์ 2017 ซึ่งหมายความว่ามัลแวร์มีเวลาว่างสองสามเดือน เพื่อหมุนเวียนระหว่างอุปกรณ์
การแพร่กระจายมัลแวร์จริง ๆ การเข้าสู่ Google Play ทำให้ผู้เผยแพร่มัลแวร์เป็นเรื่องง่ายอย่างเหลือเชื่อ การลักลอบนำมัลแวร์เข้ามาภายในคู่มือสำหรับเกมยอดนิยม ผู้คนสันนิษฐานว่าการดาวน์โหลดปลอดภัย 100% เนื่องจากเป็นบน Google Play ภายใต้สมมติฐานที่ผิดๆ ว่า Play Store นั้นไม่มีข้อผิดพลาด ผู้คนดาวน์โหลดแอปโดยไม่ต้องคิดเลย ทำให้อุปกรณ์ของตัวเองติด FalseGuide ด้วยวิธีนี้ FalseGuide สามารถลงจอดบนอุปกรณ์ 2 ล้านเครื่องในเวลา 2 เดือน
รายชื่อแอปทั้งหมดที่ค้นพบซึ่งมีมัลแวร์อยู่ที่ด้านล่างของบทความ Check Point อย่างเป็นทางการ
FalseGuide ทำหน้าที่อะไร
มัลแวร์ทุกชิ้นมีจุดประสงค์ ตั้งแต่การขโมยข้อมูลไปจนถึงการทำความเสียหาย การโจมตีที่เป็นอันตรายทุกครั้งมีแรงจูงใจอยู่เบื้องหลัง เป้าหมายของ FalseGuide ในตอนนี้ที่มีอุปกรณ์ 2 ล้านเครื่องอยู่ในมือคืออะไร
วัตถุประสงค์ของ FalseGuide มีดังนี้:
- ผู้ใช้ค้นหาและเริ่มดาวน์โหลดคู่มือเกมที่ติดไวรัสบนโทรศัพท์ของตน แอปขอสิทธิ์ในการติดตั้ง "ผู้ดูแลอุปกรณ์" เพื่อให้สามารถปฏิบัติหน้าที่ได้ ผู้ใช้ยอมรับสิ่งนี้และติดตั้งแอป
- FalseGuide ซึ่งตอนนี้มีสิทธิ์ของผู้ดูแลระบบอุปกรณ์ ตั้งค่าตัวเองเพื่อไม่ให้ผู้ใช้ลบออกได้
- FalseGuide สมัครใช้บริการที่เรียกว่า "Firebase Cloud Messaging" โดยที่ผู้ใช้ไม่รู้ตัว นี่คือบริการที่ช่วยให้นักพัฒนาแอปสามารถส่งข้อความและการแจ้งเตือนไปยังแอปของตนได้ และได้รับการพัฒนาขึ้นโดยมีเจตนาบริสุทธิ์ FalseGuide จะค้นหาและสมัครรับข้อมูลจากหัวข้อที่ใช้ชื่อเดียวกับแอปที่ส่ง จากนั้นรอคำแนะนำเพิ่มเติม
- ในหัวข้อ Firebase FalseGuide สามารถรับข้อความจากนักพัฒนามัลแวร์เพื่อติดตั้งและเรียกใช้คำสั่งที่เป็นอันตรายได้
ผลลัพธ์ที่ได้คือมัลแวร์ที่ไม่สามารถลบออกได้ซึ่งรับฟังและดำเนินการคำสั่งที่ได้รับจากผู้จัดจำหน่าย คำสั่งเหล่านี้มีตั้งแต่การติดตั้งแอดแวร์บนโทรศัพท์ไปจนถึงการโจมตี DDoS บนเซิร์ฟเวอร์ของเหยื่อ กล่าวโดยย่อ FalseGuide ให้บังเหียนผู้เผยแพร่มัลแวร์ฟรีทำตามที่อุปกรณ์ของผู้ใช้พอใจ
ได้รับการยอมรับอย่างไร
ปัญหาของแอปอย่างเช่น FalseGuide คือแอปเหล่านี้ปลอมตัวเป็นแอปที่ไร้เดียงสา ซึ่งจะเป็นอันตรายหลังจากติดตั้งแล้ว ทำได้โดยตรวจสอบให้แน่ใจว่าแอปฐานไม่มีโค้ดที่เป็นอันตราย หมายความว่า “แอปของผู้ให้บริการ” จะผ่านการคัดกรอง Google Play โดยตรวจไม่พบมัลแวร์
หลังจากติดตั้งบนอุปกรณ์เป็นเวลานานเท่านั้น อุปกรณ์จะได้รับคำแนะนำผ่าน Firebase คำแนะนำเหล่านี้จะให้โค้ดที่เป็นอันตรายแก่แอปที่มัลแวร์ต้องการเพื่อดำเนินการ วิธีนี้ทำให้บ็อตเน็ตอย่าง FalseGuide สร้างตัวเองบน Google Play ได้ในขณะที่เลื่อนอยู่ภายใต้การตรวจจับมัลแวร์ที่เข้มงวด
ก้าวไปข้างหน้า
หลังจากที่บ็อตเน็ตถูกตั้งค่าภายใต้จมูกของ Google เราในฐานะผู้ใช้จะทำอะไรได้บ้างเพื่อหลีกเลี่ยงการโจมตีเหล่านี้
อันดับแรก หากคุณสงสัยว่าโทรศัพท์ของคุณโดน FalseGuide ให้ดาวน์โหลดและเรียกใช้โซลูชันแอนตี้ไวรัสที่เชื่อถือได้สำหรับ Android หากคุณไม่แน่ใจว่าสิ่งใดปลอดภัยและสิ่งใดไม่ปลอดภัย เราได้รวบรวมรายชื่อแอปแอนตี้ไวรัสที่แนะนำให้คุณลองใช้
ไม่ว่าคุณจะติดเชื้อหรือไม่ก็ตาม เรื่องราวนี้เป็นคำเตือนให้ระมัดระวังอุปกรณ์ Android ของคุณ แม้ว่า Google Play จะเป็นที่ที่ปลอดภัยที่สุดในการดาวน์โหลดแอป แต่ก็ไม่สมบูรณ์แบบอย่างแน่นอน! อ่านป๊อปอัป "การอนุญาตอุปกรณ์" เสมอ และตรวจดูให้แน่ใจว่าแอปไม่ได้ขอให้ไปที่ที่ไม่ควร หากแอปธรรมดาเริ่มขอสิทธิ์ในพื้นที่สำคัญของโทรศัพท์ของคุณ อย่าติดตั้ง
ผู้ใช้ที่เข้าใจผิด
ด้วยอุปกรณ์ที่ติดเชื้อมากกว่า 2 ล้านเครื่อง FalseGuide เป็นคำเตือนเกี่ยวกับวิธีที่จะไม่ถือว่าแอปนั้นปลอดภัย 100% เพราะอยู่ในร้านแอปอย่างเป็นทางการ ตอนนี้คุณรู้แล้วว่า FalseGuide ทำงานอย่างไร แพร่กระจายอย่างไร และวิธีหลีกเลี่ยงการโจมตีที่คล้ายกันในอนาคต
คุณเคยติดแอปจากร้านแอปอย่างเป็นทางการหรือไม่? บอกเล่าเรื่องราวของคุณในความคิดเห็น!
