คลังเก็บป้ายกำกับ: MOBILE_SECURITY

Apple ชี้ Source Code ของ iBoot ที่รั่วออกมานั้นไม่ส่งผลกระทบต่อ Security ของ iOS

Apple ได้ออกมาแถลงต่อกรณีที่มี Source Code ของ iBoot หลุดรั่วออกมา และมีการวิเคราะห์กันว่าอาจส่งผลต่อ Security ของ iOS ได้ โดย Apple ได้ระบุว่ากรณีนี้จะไม่ส่งผลใดๆ ต่อ Security ของอุปกรณ์ Apple iOS

 

Credit: ymgerman/ShutterStock

 

Apple ได้แจ้งว่า Source Code ที่รั่วออกมานี้เป็น Source Code เก่าเมื่อ 3 ปีที่แล้ว และความปลอดภัยของผลิตภัณฑ์ก็ไม่ได้ขึ้นอยู่กับการรักษา Source Code ให้เป็นความลับ เนื่องจากมีการออกแบบเพื่อปกป้องระบบ Hardware และ Software จากการโจมตีเอาไว้หลายชั้น อีกทั้ง Apple เองก็ยังคอยผลักดันให้ผู้ใช้งานอัปเดตมาใช้ Software รุ่นล่าสุดอยู่เสมอด้วย

นอกจากนี้ก็มีนักวิเคราะห์ที่แสดงความเห็นไปในทางเดียวกันกับ Apple ว่ากรณีนี้ไม่ได้ถือว่าร้ายแรงอะไร ด้วยเหตุผลที่หลากหลายไม่ว่าจะเป็นการที่ไม่ได้มีข้อมูล Key ใดๆ หลุดออกมา หรือการโจมตีระดับสูงนั้นก็มีหลายช่องทางที่ไม่ได้ใช้ Source Code แต่ก็ยังมีนักวิเคราะห์ที่ไม่เห็นด้วยอยู่บ้างเช่นกัน เพราะ Source Code เหล่านี้อาจถูกนำไปวิเคราะห์และนำไปใช้สร้าง Malware ได้หากพบช่องโหว่ที่ยังคงมีปรากฎอยู่ให้โจมตีได้ถึงปัจจุบัน

อย่างไรก็ดี จากสถิติล่าสุดของ Apple นั้นได้ชี้ว่ากว่า 93% ของอุปกรณ์ Apple iOS นั้นใช้ iOS รุ่น 10 ขึ้นไปแล้ว

 

ที่มา: https://threatpost.com/apple-downplays-impact-of-iboot-source-code-leak/129852/

from:https://www.techtalkthai.com/apple-says-iboot-source-code-leakage-has-no-effect-on-security-of-apple-ios/

Advertisements

เตือนผู้ใช้ Android ระวัง Botnet ตัวใหม่ ลอบขุดเหรียญ Monero

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก NetLab ของ Qihoo 360 ออกมาแจ้งเตือนถึง Botnet ตัวใหม่ ซึ่งกำลังแพร่ระบาดไปยังอุปกรณ์ Android ไม่ว่าจะเป็นสมาร์ตโฟน สมาร์ตทีวี หรือ TV Top Box อยู่ในขณะนี้ โดยอาศัยการสแกนพอร์ตสำหรับใช้ Debug เพื่อลอบติดตั้งมัลแวร์สำหรับขุดเหรียญ Monero สร้างรายได้ให้แก่ตนเอง

จากการตรวจสอบพบว่า Botnet นี้เริ่มแพร่กระจายตัวเมื่อวันเสาร์ที่ 3 กุมภาพันธ์ที่ผ่านมา โดยอาศัยการสแกนพอร์ต 5555 ซึ่งเป็นพอร์ต Android Debug Bridge (ADB) สำหรับใช้ Debug ระบบปฏิบัติการ Android จึงเป็นที่มาของชื่อ ADB.miner โดย Botnet ดังกล่าวทำตัวเสมือน Worm กล่าวคือ มันจะสแกนพอร์ต 5555 บนอินเทอร์เน็ตเพื่อค้นหาเหยื่อ หลังจากที่แพร่กระจายเข้าสู่อุปกรณ์ได้แล้ว ก็จะสั่งให้อุปกรณ์นั้นๆ สแกนหาเหยื่อรายใหม่ต่อไปเป็นทอดๆ จนถึงตอนนี้พบว่ามี Botnet ดังกล่าวสแกนอินเทอร์เน็ตแล้วเกือบ 7,400 หมายเลข IP และมีแนวโน้มเพิ่มขึ้น 2 เท่าทุกๆ 12 ชั่วโมง

นักวิจัยยังระบุอีกว่า ผลของการแพร่ระบาดของ ADB.miner ทำให้การสแกนพอร์ต 5555 เข้ามาติดอันดับที่ 4 ของพอร์ตที่ถูกสแกนบนอินเทอร์เน็ตมากที่สุด โดยเป็นรองเพียงพอร์ต 23, 1433 และ 22 เท่านั้น ซึ่งก่อนหน้านี้พอร์ตดังกล่าวไม่ติดแม้แต่อันดับ 1 ใน 10 จากการตรวจสอบ IP ต้นทาง (คือติดมัลแวร์ไปแล้ว) พบว่าส่วนใหญ่มาจากจีน (ประมาณ 40%) และเกาหลี (ประมาณ 30%)

ADB.miner ยังนับว่าเป็นมัลแวร์บน Android ตัวแรกที่มีการยืมโค้ดมาจาก Mirai IoT DDoS Botnet ชื่อดัง โดยดึงเอาโค้ดบางส่วนของการสแกนพอร์ตมาใช้งานในการแพร่กระจายตัวของตน และเมื่อติดตั้งตัวเองลงบนอุปกรณ์ของเหยื่อได้แล้ว ก็จะเริ่มขุดเหรียญ Monero เพื่อหารายได้ให้แก่ตนเองขณะที่สแกนอินเทอร์เน็ตเพื่อค้นหาเหยื่อรายใหม่ไปพร้อมๆ กัน

ทีมนักวิจัยยังไม่ได้เปิดเผยถึงรายละเอียดช่องโหว่หรือวิธีการที่ ADB.miner ใช้เพื่อเข้าควบคุมอุปกรณ์นอกจากแพร่กระจายผ่านพอร์ต 5555 แต่เชื่อว่าช่องโหว่ที่ใช้ไม่ได้เป็นช่องโหว่บนผลิตภัณฑ์ยี่ห้อใดยี่ห้อหนึ่ง คาดว่าส่งผลกระทบต่อ ADB บนระบบปฏิบัติการ Android ทั้งหมด อย่างไรก็ตาม โชคดีที่พอร์ต ADB ถูกปิดมาจากโรงงาน ทำให้ผู้ใช้ส่วนใหญ่ไม่ได้รับผลกระทบต่อ Botnet ดังกล่าว แต่ก็มีผลิตภัณฑ์บางยี่ห้อที่ทางเจ้าของเปิดใช้งานเพื่อจุดประสงค์บางอย่างเช่นกัน

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/security/android-devices-targeted-by-new-monero-mining-botnet/

from:https://www.techtalkthai.com/new-monero-mining-botnet-targets-android-devices/

พบ SDK ที่นักพัฒนาเกมบน Android เลือกใช้แฝงพฤติกรรมเป็น Adware

มีรายงานพบ SDK จากบริษัทของจีนชื่อ Ya Ya Yun ที่ถูกนำไปใช้ในเกมเพื่อการสื่อสารระหว่างผู้เล่นและมีการประพฤติตัวเป็น Adware  (โปรแกรมที่ถูกออกแบบมาให้แสดงโฆษณาหรือนำผู้ใช้ไปสู่เว็บโฆษณาและเก็บข้อมูลการตลาด) โดยแทนที่มันจะทำหน้าที่ให้ผู้ใช้สนทนาระหว่างกันเท่านั้นมันกลับมีการแอบเปิดเว็บไซต์และคลิกไปยังโฆษณา

ปกติแล้วการใช้ SDK ที่มีความสามารถในการเข้าถึงระยะไกลเป็นอันตรายอยู่แล้วเนื่องจากมันอาจจะทำให้บริษัทผู้ผลิตสามารถเข้าไปควบคุมแอปพลิเคชันของผู้ใช้ได้ โดยในกรณี SDK ของ Ya Ya Yun นักวิจัยด้านความมั่นคงปลอดภัยบนมือถือจาก Dr. Web พบว่าระหว่างที่ SDK ดาวน์โหลดรูปภาพที่เหมือนดูเป็นปกตินั้น มันมีการแอบดาวน์โหลดส่วนประกอบอื่นๆ ที่เป็นอันตรายมารันบนเครื่องผู้ใช้ด้วย ซึ่งส่วนประกอบนั้นมีการเปิด URLs ภายใน Browser อย่างลับๆ อีกทั้งกดคลิกบนโฆษณาอีกด้วย ทั้งนี้นักวิจัยกล่าวว่ามันเป็นเรื่องง่ายที่จะเปลี่ยนพฤติกรรมนี้เป็นอย่างอื่น เช่น การเพิ่มโทรจันเข้ามา

นอกจากนี้นักวิจัยยังพบเกมที่มีพฤติกรรมอันตรายกว่า 27 เกมและมีผู้ติดตั้งไปแล้วกว่า 4.5 ล้านอุปกรณ์ แม้ทางนักวิจัยจะแจ้ง Google เรียบร้อยแล้วแต่จากการตรวจสอบพบว่าแอปพลิเคชันเหล่านั้นยังปรากฏอยู่ใน Play Store ซึ่งในอดีตมีกรณีคล้ายกันและสิ่งที่ Google ทำคือหยุดแอปพลิเคชันนั้นไว้ก่อนจนกระทั่งเจ้าของแอปพลิเคชันจะลบส่วนประกอบอันตรายนั้นออกไป อย่างไรก็ตามแอปพลิเคชันที่ปรากฏอยู่อาจจะถูกแก้ไขแล้วก็เป็นได้แต่ทางทีดีแนะนำผู้ใช้หลีกเลี่ยงไว้จะดีกว่า โดยผู้ใช้สามารติดตามรายชื่อเกมได้ตามตารางด้านล่างนี้

Program name
Application package name
Version
Hero Mission
com.dodjoy.yxsm.global
1.8
Era of Arcania
com.games37.eoa
2.2.5
Clash of Civilizations
com.tapenjoy.warx
0.11.1
Sword and Magic
com.UE.JYMF&hl
1.0.0
خاتم التنين – Dragon Ring (For Egypt)
com.reedgame.ljeg
1.0.0
perang pahlawan
com.baiduyn.indonesiamyth
1.1400.2.0
樂舞 – 超人氣3D戀愛跳舞手遊
com.baplay.love
1.0.2
Fleet Glory
com.entertainment.mfgen.android
1.5.1
Kıyamet Kombat Arena
com.esportshooting.fps.thekillbox.tr
1.1.4
Love Dance
com.fitfun.cubizone.love
1.1.2
Never Find Me – 8v8 real-time casual game
com.gemstone.neverfindme
1.0.12
惡靈退散-JK女生の穿越冒險
com.ghosttuisan.android
0.1.7
King of Warship: National Hero
com.herogames.gplay.kowglo
1.5.0
King of Warship:Sail and Shoot
com.herogames.gplay.kowsea
1.5.0
狂暴之翼-2017年度最具人氣及最佳對戰手遊
com.icantw.wings
0.2.8
武動九天
com.indie.wdjt.ft1
1.0.5
武動九天
com.indie.wdjt.ft2
1.0.7
Royal flush
com.jiahe.jian.hjths
2.0.0.2
Sword and Magic
com.linecorp.LGSAMTH
Depends on a device model
Gumballs & Dungeons:Roguelike RPG Dungeon crawler
com.qc.mgden.android
0.41.171020.09-1.8.6
Soul Awakening
com.sa.xueqing.en
1.1.0
Warship Rising – 10 vs 10 Real-Time Esport Battle
com.sixwaves.warshiprising
1.0.8
Thủy Chiến – 12 Vs 12
com.vtcmobile.thuychien
1.2.0
Dance Together
music.party.together
1.1.0
頂上三国 – 本格RPGバトル
com.yileweb.mgcsgja.android
1.0.5
靈魂撕裂
com.moloong.wjhj.tw
1.1.0
Star Legends
com.dr.xjlh1
1.0.6

ที่มาและตารางรายชื่อ : https://www.bleepingcomputer.com/news/security/infected-android-games-spread-adware-to-more-than-4-5-million-users/

from:https://www.techtalkthai.com/android-sdk-behave-adware-were-found/

เตือนมัลแวร์ GhostTeam บน Android ขโมยข้อมูลล็อกอินของ Facebook

   

Avast! และ Trend Micro สองผู้ให้บริการซอฟต์แวร Antivirus ชื่อดัง ออกมาแจ้งเตือนถึงมัลแวร์ GhostTeam ซึ่งแพร่กระจายตัวอยู่ใน Google Play Store รวมแล้วมากกว่า 50 แอปพลิเคชัน ซึ่งช่วยให้แฮ็กเอร์สามารถขโมยข้อมูลล็อกอินของ Facebook และแสดงโฆษณาบนอุปกรณ์ที่ติดมัลแวร์ได้

ทีมนักวิจัยด้านความมั่นคงปลอดภัยของทั้งสองบริษัทระบุว่า มัลแวร์ดังกล่าวแฝงตัวอยู่ในแอปพลิเคชันบน Google Play Store มาตั้งแต่เดือนเมษายนปี 2017 โดยใช้เทคนิคในการแพร่กระจายตัวที่ค่อนข้างใหม่และมีประสิทธิภาพ โดยเริ่มจากหลอกให้ผู้ใช้ดาวน์โหลดแอปพลิเคชันบน Google Play Store มาติดตั้งก่อน แอปพลิเคชันดังกล่าวจะเป็นแอปพลิเคชันที่ดูเหมือนไม่มีพิษมีภัย ไม่ได้ทำอันตรายแก่ตัวเครื่องโดยตรง แต่จะทำหน้าที่เป็น Dropper ซึ่งจะติดต่อกับ C&C Server เพื่อทำการดาวน์โหลดและติดตั้งแอปพลิเคชันอีกตัวหนึ่งซึ่งมีมัลแวร์ GhostTeam แฝงตัวอยู่ ผ่านทางการแจ้งเตือนผู้ใช้ว่ามีปัญหาเกี่ยวกับความมั่นคงปลอดภัย จำเป็นต้องดาวน์โหลดแอปมาติดตั้งเพิ่มเติมและต้องใช้สิทธิ์ Admin

หลังจากที่แอปพลิเคชัน GhostTeam ถูกติดตั้งลงบนเครื่องและได้สิทธิ์ Admin แล้ว มันจะเริ่มแสดงโฆษณาบนเครื่องของผู้ใช้ทันที รวมไปถึงใช้วิธีพิเศษในการแอบขโมยข้อมูล Credential จากหน้าล็อกอินจริงของ Facebook กล่าวคือ เมื่อผู้ใช้กำลังจะเปิดแอป Facebook มัลแวร์จะทำการเปิดหน้าล็อกอินของ Facebook ผ่านทาง Headless Browser ของ Android โดยใช้ WebView หรือ WebChromeClient แทน พร้อมกับแทรกโค้ด JavaScript สำหรับเก็บข้อมูลล็อกอิน Facebook ของผู้ใช้เข้าไปด้วย เมื่อผู้ใช้ลงทะเบียนเข้าใช้ Facebook ข้อมูลเหล่านั้นก็จะถูกส่งกลับไปยัง C&C Server ของแฮ็กเกอร์ในภายหลัง

จุดเด่นสำคัญของวิธีนี้คือ การดำเนินการทุกขั้นตอนถูกกระทำบนหน้าล็อกอินจริงของ Facebook และผ่านทางระบบที่ถูกต้องของ Android ทำให้ซอฟต์แวร์รักษาความมั่นคงปลอดภัยส่วนใหญ่บนเครื่องไม่สามารถตรวจจับและป้องกันได้

Avast! และ Trend Micro ระบุว่า มีแอปพลิเคชันบน Google Play Store ที่นำไปสู่มัลแวร์ GhostTeam มากถึง 53 แอปพลิเคชัน ซึ่งแอปพลิเคชันทั้งหมดใช้ภาษาเวียดนามเป็นภาษาพื้นฐาน และ C&C Server ก็เป็น IP จากประเทศเวียดนาม ทำให้คาดเดาได้ไม่ยากว่าแฮ็กเกอร์น่าจะเป็นชาวเวียดนาม อย่างไรก็ตาม ประเทศที่ได้รับผลกระทบจาก GhostTeam มากที่สุดกลับเป็นอินเดีย อินโดนีเซีย และบราซิล ตามลำดับ คิดเป็น 60% ของอุปกรณ์ทั้งหมดที่ติดมัลแวร์

ทั้งสองบริษัทได้แจ้งเรื่องมัลแวร์ GhostTeam ไปยัง Google ซึ่งก็ได้ลบแอปพลิเคชันทั้ง 53 รายการออกจาก Play Store เป็นที่เรียบร้อย ส่วนใหญ่เป็นแอปพลิเคชันประเภท Flashlight, QR Code Scanner, Compass, Device Optimization และ Device Cleaning สามารถดูรายชื่อแอปพลิเคชันทั้งหมดได้ที่นี่ [PDF] ถ้าพบว่าบนอุปกรณ์ของตนมีแอปพลิเคชันดังกล่าวติดตั้งอยู่ ให้รีบลบแอปพลิเคชันทิ้ง เปลี่ยนรหัสผ่าน Facebook และใช้การพิสูจน์แบบ 2-factor Authentication

ที่มา: https://www.bleepingcomputer.com/news/security/ghostteam-android-malware-can-steal-facebook-credentials/

from:https://www.techtalkthai.com/ghostteam-android-malware-steals-facebook-credential/

เตือนมัลแวร์แอนดรอยด์ GhostTeam จ้องขโมย Facebook Credentials

นักวิจัยด้านความมั่นคงปลอดภัยบนมือถือจาก Avast และ Trend Micro ค้นพบมัลแวร์บน Android บน Play Store ที่มีฟีเจอร์เพื่อขโมย Facebook Credentials ให้ชื่อมัลแวร์ตัวนี้ว่า GhostTeam ซึ่งปรากฏขึ้นตั้งแต่เมษายนปีที่แล้วแต่ Google เพิ่งจะลบแอปพลิเคชัน 53 รายการออกเนื่องจากมีส่วนเกี่ยวข้องกับการแพร่มัลแวร์ชนิดนี้

สิ่งที่เกิดขึ้นคือเมื่อผู้ใช้งานหลงเชื่อติดตั้งแอปพลิเคชันที่ปกติหรือที่เรียกว่า Dropper หลังจากนั้นมันจะเริ่มติดต่อกับเซิร์ฟเวอร์ต้นทางเพื่อดาวน์โหลดและติดตั้งแอปพลิเคชันตัวที่สองมาเพิ่มซึ่งคือ GhostTeam นั่นเอง ขั้นต่อไปเพื่อยกระดับสิทธิ์ของโปรแกรมมันจะเริ่มปลอมการแจ้งเตือนด้านความมั่นคงปลอดภัยเพื่อหลอกให้เหยื่อติดตั้งแอปพลิเคชันเพิ่มเติมให้ได้สิทธิ์ระดับผู้ดูแลเพื่อเริ่มรุกรานต่อผู้ใช้อย่างจริงจังด้วยการแสดงโฆษณาต่างๆ

อีกฟีเจอร์หนึ่งคือมัลแวร์ทำการขโมยข้อมูลจากหน้าล็อกอินจริงของ Facebook โดยขั้นตอนคือมันจะคอยตรวจจับการเปิดแอปพลิเคชัน Facebook จริง จากนั้นจะทำการเปิดหน้าล็อกอินใน Headless Browser (ควบคุมหน้าเว็บเพจโดยไม่ต้องใช้ GUI) เช่น WebView หรือ WebChromeClient (คือการเรียกใช้ Browser ที่อยู่ในแอปพลิเคชันเอง ไม่เหมือน Chrome ที่ต้องไปติดตั้งต่างหาก) ซึ่งแอปพลิเคชันที่ติดมัลแวร์ GhostTeam จะทำการโหลดหน้าเพจล็อกอิน Facebook จริงภายในแอปพลิเคชันแต่ว่ามันจะโหลด JavaScirpt อันตรายมาเพิ่มเติมเพื่อเก็บ Credentials ของ Facebook ด้วยเช่นกันและมันจะถูกส่งต่อไปหาเซิร์ฟเวอร์ของผู้โจมตีต่อไป เนื่องจากปฏิบัติการทั้งหมดเกิดอย่างถูกต้องผ่านทางเพจล็อกอินจริงและแอปพลิเคชันที่ถูกต้องทั้งหมด ดังนั้นผลิตภัณฑ์ด้านความมั่นคงปลอดภัยบนมือถือจะไม่สามารถจับการขโมย Credentials นี่ได้เลย

ทางผู้เชี่ยวชาญจาก Trend Micro และ Avast คาดว่ามัลแวร์ตัวนี้ถูกสร้างโดยชาวเวียดนามเนื่องจากมีการตั้งค่าที่ติดมากับแอปพลิเคชันเป็นภาษาเวียดนามและมีการเชื่อมต่อไปยัง IP เซิร์ฟเวอร์ที่เวียดนามด้วย อย่างไรก็ตามแม้ว่า Google จะทำการลบแอปพลิเคชันที่แพร่ GhostTeam แล้วแต่ผู้ใช้ที่โหลดแอปพลิเคชันไปแล้วยังมีผลอยู่ ดังนั้นสามารถเข้าไปเช็ครายชื่อแอปพลิเคชันที่ได้รับผลกระทบที่นี่ นอกจากนี้หลังลบแอปพลิเคชันออกแล้วควรจะเปลี่ยน Credentials ของ Facebook ทันทีและเปิดใช้งาน Two-factor Authentication กับ Facebook ด้วย

ที่มา : https://www.bleepingcomputer.com/news/security/ghostteam-android-malware-can-steal-facebook-credentials/ และ https://www.scmagazine.com/vietnamese-adware-dubbed-ghostteam-spotted-in-several-google-play-apps/article/737779/

from:https://www.techtalkthai.com/ghostteam-android-apps-looking-for-facebook-credentials/

นักวิจัยพบเครื่องมือสอดแนม ‘Skygofree’ ฟีเจอร์ระดับพระกาฬบน Android

นักวิจัยด้านความมั่นคงปลอดภัยจาก Kaspersky Labs ค้นพบเครื่องมือสอดแนมตัวใหม่ชื่อว่า Skygofree โดยเชื่อว่าถูกสร้างโดยบริษัทในประเทศอิตาลี ซึ่งมีฟีเจอร์อย่างครบเครื่อง เช่น บันทึกเสียงตามสถานที่ ขโมยข้อความใน WhatsApp ผ่านบริการในการเข้าถึงของ Android และเชื่อมต่ออุปกรณ์ของเหยื่อกับกับเครือข่ายไร้สายที่ผู้โจมตีควบคุม นอกจากนั้นยังรองรับคำสั่งได้ถึง 48 คำสั่งเพื่อใช้ Execute ปฏิบัติการในทางที่ไม่ดีอื่นๆ

 

จากรายงานการศึกษาของ Kaspersky พบว่าภายในโค้ดมีการคอมเม้นต์กำกับไว้เป็นภาษาอิตาเลียน อีกทั้งมีปัจจัยบางอย่างที่เชื่อมโยงไปถึงบริษัท Negg ซึ่งเป็นบริษัทสากลสัญชาติอิตาเลียนและให้บริการเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์ มือถือ และการพัฒนาเว็บ อย่างไรก็ตามทาง Kaspersky ยังไม่ได้ฟันธงว่า Negg เป็นผู้สร้าง Spyware ตัวนี้หรือไม่ ซึ่งการพัฒนาครั้งนี้บริษัท Negg อาจจะสร้างขึ้นเพื่อการบังคับใช้กฏหมายของอิตาลีเพื่อจับผู้ต้องสงสัยที่อยู่ในการสืบสวนอย่างเป็นทางการ โดยมีการเรียกชื่อเครื่องมือพวกนี้ว่า ‘Lawful Intercept หรือ Lawful Surveillance’ นั่นเอง

ในด้านเทคนิคพบว่า Skygofree จัดได้ว่าเป็นเครื่องมือที่ทรงพลังอย่างที่ไม่เคยเห็นมาก่อนบน Android เช่น ใช้ช่องโหว่หลายอย่างเพื่อให้ได้รับสิทธิ์ระดับผู้ดูแล มีโครงสร้างของ Payload ที่ซับซ้อน บันทึกเสียงรอบด้านในสถานที่ที่กำหนด นอกจากนี้มันสามารถถูกควบคุมผ่าน HTTP, ข้อความ SMS ที่เป็น Binary, โปรโตคอลสื่อสาร XMPP (Extensible Messaging and Presence Protocol ), ข้อความที่ส่งจาก Google Cloud (Firebase Cloud Messaging) โดยคาดว่าเครื่องมือนี้น่าจะประกอบขึ้นจากหลายโครงการโอเพ่นซอร์สบน GitHub เช่น PRISM (Reverse Shell), Android-rooting-tools, El3ct71k Keylogger, Xenotix Python Keylogger (Windows) สามารถติดตามฟีเจอร์อื่นๆ ได้ด้านล่าง

credit : Bleeping Computer

ที่มา : https://www.bleepingcomputer.com/news/security/italian-it-company-possibly-behind-new-skygofree-android-spyware/ และ https://www.darkreading.com/mobile/kaspersky-lab-warns-of-extremely-sophisticated-android-spyware-tool/d/d-id/1330832

from:https://www.techtalkthai.com/skygofree-most-sophisticated-italian-spying-tool-on-android/

พบ AdultSwine มัลแวร์แสดงโฆษณาภาพอนาจารในแอปพลิเคชันของเด็ก

นักวิจัยด้านความมั่นคงปลอดภัยจาก Check Point พบโค้ดของมัลแวร์แบบใหม่ชื่อ AdultSwine ซึ่งซ่อนตัวอยู่ภายในแอปพลิเคชันเกมส์กว่า 60 แอปและแสดงโฆษณาที่เป็นรูปอนาจารหรือไม่เหมาะสม โดยคาดว่ามีแอปพลิเคชันเหล่านี้ถูกดาวน์โหลดไปแล้วกว่า 3 ถึง 7 ล้านครั้ง

AdultSwine มีความสามารถหลากหลายซึ่งมันจะประพฤติตัวเป็น Scareware (มัลแวร์ที่ถูกออกแบบมาเพื่อหลอกให้ผู้ใช้เข้าไปในการซื้อขายหรือดาวน์โหลดซอฟต์แวร์อันตรายอื่นๆ) เพื่อแสดงโฆษณาจากเว็บที่ไม่เหมาะสมและมีรูปอนาจาร จากนั้นมันจะหลอกว่าเครื่องผู้ใช้ติดมัลแวร์โดยการแจ้งเตือน ‘Remove Virus Now’ หากผู้ใช้หลงเชื่อและกดเข้าไปมันจะพาผู้ใช้ไปยังแอปพลิเคชันด้านความมั่นคงปลอดภัยปลอมใน Google Play Store นอกจากนี้มันยังพยายามหลอกให้เหยื่อลงทะเบียนจ่ายเงินเป็นบริการระดับ Premium โดยมันจะแสดง Pop-up โฆษณาที่บอกผู้ใช้ได้รางวัลเป็นไอโฟน จากนั้นมันจะให้ตอบคำถามสั้นๆ 4 ข้อหากผู้ใช้หลงเชื่อมันจะขอเบอร์โทรศัพท์เพื่อรับรางวัล หลังจากนั้นมัลแวร์จะใช้เลขโทรศัพท์นั้นลงทะเบียนเป็นบริการระดับ Premium

แหล่งที่มาของโฆษณาไม่เหมาะสมมาจากต้นทาง 2 แหล่งคือผู้ให้บริการโฆษณารายหลักและส่วนโค้ดของมัลแวร์เอง ซึ่งปกติแล้วโฆษณาเหล่านี้ก็จะปรากฏอยู่ในแอปพลิเคชันเกมส์ของเด็กๆ ที่ติดมัลแวร์แสดงผลวนไปเรื่อยๆ ซึ่งเด็กสามารถหลงเชื่อสิ่งเหล่านี้ได้ง่ายเพราะมันมองเห็นได้ชัดเจน นักวิจัยกล่าวว่า “แผนการแบบนี้มันยังคงได้ผลเรื่อยมาจนกระทั่งทุกวันนี้ โดยเฉพาะเมื่อมันเป็นแอปพลิเคชันที่มาจากต้นที่น่าเชื่อถืออย่าง Google Play เอง” นอกจากนี้นักวิจัยได้เตือนให้ผู้ปกครองควรจะตรจจดูแอปพลิเคชันของเด็กๆ ก่อนดาวน์โหลดและสอนให้เด็กรู้จักและสังเกตุแอปพลิเคชันที่ไม่ดีด้วย

ที่มา : https://www.infosecurity-magazine.com/news/malware-serves-up-porn-ads-in-kids/

from:https://www.techtalkthai.com/malware-ads-porn-pics-in-child-application/