สปายแวร์ ‘Mandrake’ รีเทิร์น ติดตั้งแล้วมากกว่า 3.2 หมื่นครั้งผ่าน Google Play

แคสเปอร์สกี้ พบสปายแวร์ Mandrake รีเทิร์น ซ่อนตัวนานสองปี ติดตั้งแล้วมากกว่า 3.2 หมื่นครั้งผ่าน Google Play แนะเคล็ดลับเพิ่มความปลอดภัย

นักวิจัยของแคสเปอร์สกี้ (Kaspersky) พบแคมเปญสปายแวร์ใหม่ล่าสุดที่แพร่กระจายมัลแวร์แมนเดรก หรือ Mandrake ผ่าน Google Play โดยหลอกว่าเป็นแอปที่ถูกกฎหมายเกี่ยวกับสกุลเงินดิจิทัล ดาราศาสตร์ และเครื่องมือยูทิลิตี้ต่าง ๆ

ทั้งนี้ ผู้เชี่ยวชาญของแคสเปอร์สกี้ ค้นพบแอปพลิเคชัน Mandrake จำนวน 5 แอปบน Google Play ซึ่งเปิดให้ใช้งานนานสองปีแล้ว โดยมียอดดาวน์โหลดมากกว่า 3.2 หมื่นครั้ง มีฟีเจอร์และเทคนิคการหลบเลี่ยงขั้นสูง ทำให้ผู้ให้บริการรักษาความปลอดภัยไม่สามารถตรวจพบแอปพลิเคชันเหล่านี้ได้

Mandrake เป็นสปายแวร์ที่ค้นพบครั้งแรกในปี 2563 เป็นแพลตฟอร์มจารกรรมระบบแอนดรอยด์ที่ซับซ้อนและดำเนินงานมาตั้งแต่ปี 2559 เป็นอย่างน้อย ในเดือนเมษายน 2567 นักวิจัยของแคสเปอร์สกี้ได้ค้นพบตัวอย่างที่น่าสงสัย ซึ่งบ่งชี้ว่าเป็น Mandrake เวอร์ชันใหม่ ที่มีฟังก์ชันการทำงานที่ได้รับการปรับปรุง

ตัวอย่างใหม่เหล่านี้มีเทคนิคการบดบังและหลีกเลี่ยงขั้นสูง รวมถึงการเปลี่ยนฟังก์ชันที่เป็นอันตรายไปยังไลบรารีเนทีฟที่ปิดบังโดยใช้ OLLVM การใช้ใบรับรองสำหรับการสื่อสารที่ปลอดภัยกับเซิร์ฟเวอร์คำสั่งและการควบคุม (command and control - C2) และการดำเนินการตรวจสอบอย่างละเอียดเพื่อตรวจจับว่า Mandrake กำลังทำงานบนอุปกรณ์ที่รูทหรือภายในสภาพแวดล้อมจำลอง

คุณสมบัติที่โดดเด่นของ Mandrake เวอร์ชันใหม่คือ การเพิ่มเทคนิคปิดบังขั้นสูงที่ออกแบบมาเพื่อข้ามการตรวจสอบความปลอดภัยของ Google Play และขัดขวางการวิเคราะห์

สำหรับแอปพลิเคชัน 5 แอปที่มีสปายแวร์ Mandrake บน Google Play เปิดตัวในรูปแบบแอปแชร์ไฟล์ผ่าน Wi-Fi แอปบริการดาราศาสตร์ แอป Amber สำหรับเกม Genshin แอปสกุลเงินดิจิทัล และแอปที่มีเกมปริศนา จนถึงเดือนกรกฎาคม 2567 ตามข้อมูลของ VirusTotal ยังไม่มีแอปใดที่ถูกตรวจพบว่าเป็นมัลแวร์โดยผู้จำหน่ายใด ๆ

แม้ว่าแอปพลิเคชันที่เป็นอันตรายเหล่านี้จะไม่อยู่ใน Google Play แล้ว แต่แอปพลิเคชันเหล่านี้เคยเปิดให้ดาวน์โหลดในหลายประเทศ โดยการดาวน์โหลดส่วนใหญ่อยู่ในแคนาดา เยอรมนี อิตาลี เม็กซิโก สเปน เปรู และสหราชอาณาจักร

เมื่อพิจารณาถึงความคล้ายคลึงกันของแคมเปญปัจจุบัน และแคมเปญก่อนหน้า กับโดเมน C2 ที่จดทะเบียนในรัสเซีย แคสเปอร์สกี้สันนิษฐานด้วยความมั่นใจสูงว่า ผู้ก่อภัยคุกคามจะเป็นรายเดียวกับที่ระบุไว้ในรายงานการตรวจจับครั้งแรกของ Bitdefender

นางสาวแทตยาน่า ชิชโกวา หัวหน้านักวิจัยความปลอดภัยของทีม GReAT แคสเปอร์สกี้ กล่าวว่า “ลังจากหลบเลี่ยงการตรวจจับเป็นเวลาสี่ปีในเวอร์ชันเริ่มต้น แคมเปญ Mandrake ล่าสุดยังคงไม่ถูกตรวจพบบน Google Play เป็นเวลาสองปี ซึ่งแสดงให้เห็นถึงทักษะขั้นสูงของผู้ก่อภัยคุกคามที่เกี่ยวข้อง

นอกจากนี้ยังเน้นย้ำถึงแนวโน้มที่น่าวิตกกังวลอีกด้วย เนื่องจากข้อจำกัดที่เข้มงวดยิ่งขึ้นและการตรวจสอบความปลอดภัยมีความเข้มงวดมากขึ้น ความซับซ้อนของภัยคุกคามที่แทรกซึมเข้ามาในแอปสโตร์อย่างเป็นทางการจึงเพิ่มมากขึ้น ทำให้ตรวจจับได้ยากขึ้น

แนะนำเคล็ดลับเพื่อความปลอดภัยจาก Mandrake

• ใช้ Marketplace ที่เป็นทางการ

ดาวน์โหลดแอปและซอฟต์แวร์จากแหล่งที่เชื่อถือได้และเป็นทางการ หลีกเลี่ยงแอปสโตร์ของเธิร์ดปาร์ตี้ เนื่องจากมีความเสี่ยงสูงที่แอปและซอฟต์แวร์ดังกล่าวอาจโฮสต์ได้ แม้แต่แพลตฟอร์มที่เป็นทางการก็อาจโฮสต์แอปที่เป็นอันตรายได้ ควรตรวจสอบรีวิวและคะแนนก่อนดาวน์โหลดเสมอ

• ใช้ซอฟต์แวร์รักษาความปลอดภัยที่มีชื่อเสียง

ติดตั้งและบำรุงรักษาซอฟต์แวร์ป้องกันไวรัสและแอนตี้มัลแวร์ที่มีชื่อเสียงบนอุปกรณ์ สแกนอุปกรณ์เป็นประจำเพื่อหาภัยคุกคามที่อาจเกิดขึ้น และอัปเดตซอฟต์แวร์รักษาความปลอดภัยให้ทันสมัยอยู่เสมอ แนะนำ Kaspersky Premium ปกป้องผู้ใช้จากภัยคุกคาม

• เรียนรู้เพิ่มเติมเรื่องกลโกงหลอกลวง

คอยติดตามข้อมูลเกี่ยวกับภัยคุกคามทางไซเบอร์ เทคนิค และกลวิธีล่าสุด ระวังคำขอและข้อเสนอที่น่าสงสัย หรือคำขอข้อมูลส่วนบุคคลหรือข้อมูลทางการเงินแบบด่วนๆ

อ่านข่าวเพิ่มเติม

• ทำไมต้องป้องกันความปลอดภัยสมาร์ตโฟนทันที 'แคสเปอร์สกี้' มีคำตอบ
• ล็อกซเล่ย์ อีโวลูชั่นฯ ประกาศลุยตลาดระบบรักษาความปลอดภัย เจาะลูกค้า B2B และ B2C
• ทำความรู้จัก 'Zero-Trust' โปรแกรมความปลอดภัย ที่องค์กรธุรกิจต้องมี

ติดตามเราได้ที่

• เว็บไซต์:https://www.thebangkokinsight.com/
• Facebook:https://www.facebook.com/TheBangkokInsight
• X (Twitter): https://twitter.com/BangkokInsight
• Instagram: https://www.instagram.com/thebangkokinsight/
• Youtube: https://www.youtube.com/channel/UCYmFfMznVRzgh5ntwCz2Yxg