นักวิจัยของแคสเปอร์สกี้ (Kaspersky) พบแคมเปญสปายแวร์ใหม่ล่าสุดที่แพร่กระจายมัลแวร์แมนเดรก หรือ ‘Mandrake’ ผ่าน Google Play โดยหลอกว่าเป็นแอปที่ถูกกฎหมายเกี่ยวกับสกุลเงินดิจิทัล ดาราศาสตร์ และเครื่องมือยูทิลิตี้ต่างๆ ผู้เชี่ยวชาญของแคสเปอร์สกี้ค้นพบแอปพลิเคชัน ‘Mandrake’ จำนวน 5 แอปบน Google Play ซึ่งเปิดให้ใช้งานนานสองปีแล้ว โดยมียอดดาวน์โหลดมากกว่า 32,000 ครั้ง มีฟีเจอร์และเทคนิคการหลบเลี่ยงขั้นสูง ทำให้ผู้ให้บริการรักษาความปลอดภัยไม่สามารถตรวจพบแอปพลิเคชันเหล่านี้ได้
‘Mandrake’ เป็นสปายแวร์ที่ค้นพบครั้งแรกในปี 2020 เป็นแพลตฟอร์มจารกรรมระบบแอนดรอยด์ที่ซับซ้อนและดำเนินงานมาตั้งแต่ปี 2016 เป็นอย่างน้อย ในเดือนเมษายน 2024 นักวิจัยของแคสเปอร์สกี้ได้ค้นพบตัวอย่างที่น่าสงสัย ซึ่งบ่งชี้ว่าเป็น Mandrake เวอร์ชันใหม่ที่มีฟังก์ชันการทำงานที่ได้รับการปรับปรุง ตัวอย่างใหม่เหล่านี้มีเทคนิคการบดบังและหลีกเลี่ยงขั้นสูง รวมถึงการเปลี่ยนฟังก์ชันที่เป็นอันตรายไปยังไลบรารีเนทีฟที่ปิดบังโดยใช้ OLLVM การใช้ใบรับรองสำหรับการสื่อสารที่ปลอดภัยกับเซิร์ฟเวอร์คำสั่งและการควบคุม (command and control - C2) และการดำเนินการตรวจสอบอย่างละเอียดเพื่อตรวจจับว่า Mandrake กำลังทำงานบนอุปกรณ์ที่รูทหรือภายในสภาพแวดล้อมจำลอง
คุณสมบัติที่โดดเด่นของ Mandrake เวอร์ชันใหม่คือการเพิ่มเทคนิคปิดบังขั้นสูงที่ออกแบบมาเพื่อข้ามการตรวจสอบความปลอดภัยของ Google Play และขัดขวางการวิเคราะห์ ผู้เชี่ยวชาญของแคสเปอร์สกี้ระบุแอปพลิเคชัน 5 แอปที่มีสปายแวร์ Mandrake ซึ่งมียอดดาวน์โหลดรวมกันมากกว่า 32,000 ครั้ง แอปเหล่านี้เผยแพร่บน Google Play ในปี 2022 พร้อมให้ดาวน์โหลดอย่างน้อยหนึ่งปี แอปเหล่านี้เปิดตัวในรูปแบบแอปแชร์ไฟล์ผ่าน Wi-Fi แอปบริการดาราศาสตร์ แอป Amber สำหรับเกม Genshin แอปสกุลเงินดิจิทัล และแอปที่มีเกมปริศนา จนถึงเดือนกรกฎาคม 2024 ตามข้อมูลของ VirusTotal ยังไม่มีแอปใดที่ถูกตรวจพบว่าเป็นมัลแวร์โดยผู้จำหน่ายใดๆ
แม้ว่าแอปพลิเคชันที่เป็นอันตรายเหล่านี้จะไม่อยู่ใน Google Play แล้ว แต่แอปพลิเคชันเหล่านี้เคยเปิดให้ดาวน์โหลดในหลายประเทศ โดยการดาวน์โหลดส่วนใหญ่อยู่ในแคนาดา เยอรมนี อิตาลี เม็กซิโก สเปน เปรู และสหราชอาณาจักร
เมื่อพิจารณาถึงความคล้ายคลึงกันของแคมเปญปัจจุบันและแคมเปญก่อนหน้ากับโดเมน C2 ที่จดทะเบียนในรัสเซีย แคสเปอร์สกี้สันนิษฐานด้วยความมั่นใจสูงว่า ผู้ก่อภัยคุกคามจะเป็นรายเดียวกับที่ระบุไว้ในรายงานการตรวจจับครั้งแรกของ Bitdefender
แทตยาน่า ชิชโกวา หัวหน้านักวิจัยความปลอดภัยของทีม GReAT (Global Research and Analysis Team) แคสเปอร์สกี้ กล่าวว่า “หลังจากหลบเลี่ยงการตรวจจับเป็นเวลาสี่ปีในเวอร์ชันเริ่มต้น แคมเปญ Mandrake ล่าสุดยังคงไม่ถูกตรวจพบบน Google Play เป็นเวลาสองปี ซึ่งแสดงให้เห็นถึงทักษะขั้นสูงของผู้ก่อภัยคุกคามที่เกี่ยวข้อง นอกจากนี้ยังเน้นย้ำถึงแนวโน้มที่น่าวิตกกังวลอีกด้วย เนื่องจากข้อจำกัดที่เข้มงวดยิ่งขึ้นและการตรวจสอบความปลอดภัยมีความเข้มงวดมากขึ้น ความซับซ้อนของภัยคุกคามที่แทรกซึมเข้ามาในแอปสโตร์อย่างเป็นทางการจึงเพิ่มมากขึ้น ทำให้ตรวจจับได้ยากขึ้น”
สามารถอ่านเพิ่มเติมเกี่ยวกับแคมเปญสปายแวร์ Mandrake ใหม่ ได้ที่เว็บ Securelist.com
https://securelist.com/mandrake-apps-return-to-google-play/113147/
ผู้เชี่ยวชาญของแคสเปอร์สกี้แนะนำเคล็ดลับเพื่อความปลอดภัยจากภัยคุกคามอย่างสปายแวร์ Mandrake ดังต่อไปนี้