มัลแวร์ "NoVoice" ระบาดบน Google Play กระทบผู้ใช้ Android กว่า 2.3 ล้านเครื่อง



McAfee เปิดเผยแคมเปญ Malware บน Android ในชื่อ NoVoice ที่แฝงตัวอยู่ในแอปกว่า 50 รายการบน Google Play โดยมียอดดาวน์โหลดรวมกว่า 2.3 ล้านครั้ง สามารถ Root อุปกรณ์และขโมยข้อมูลจาก WhatsApp ได้

แอปที่ถูกฝัง Malware ตัวนี้มีทั้งแอปทำความสะอาดเครื่อง แกลเลอรีรูปภาพ และเกม ซึ่งไม่ได้ร้องขอ Permission ที่น่าสงสัยและยังทำงานได้ตามปกติ หลังจากเปิดแอปที่ติดเชื้อ Malware จะพยายามขอสิทธิ์ Root โดยอาศัยช่องโหว่เก่าบน Android ที่ได้รับแพตช์แก้ไขไปแล้วระหว่างปี 2016-2021 ทีมวิจัยจาก McAfee ระบุว่ายังไม่สามารถระบุตัวผู้โจมตีได้ แต่พบว่า Malware ตัวนี้มีความคล้ายคลึงกับ Triada Android Trojan

ในส่วนของกลไกการทำงาน ผู้โจมตีซ่อน Component ที่เป็นอันตรายไว้ใน Package ชื่อ com.facebook.utils โดยปะปนกับ Class ของ Facebook SDK ที่ถูกต้อง จากนั้นใช้เทคนิค Steganography ซ่อน Payload ที่เข้ารหัสไว้ในไฟล์ PNG แล้วจึงถอดรหัสและโหลดเข้าสู่หน่วยความจำโดยลบไฟล์กลางทิ้งเพื่อไม่ให้ถูกตรวจจับ นอกจากนี้ Malware ยังมีกลไกตรวจสอบ Emulator, Debugger และ VPN ถึง 15 ขั้นตอน และหลีกเลี่ยงการแพร่กระจายในบางภูมิภาคอย่างปักกิ่งและเซินเจิ้นในจีน

เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ C2 แล้ว Malware จะรวบรวมข้อมูลอุปกรณ์เพื่อเลือก Exploit ที่เหมาะสม โดยทีมวิจัยพบ Exploit ทั้งหมด 22 ตัว รวมถึงช่องโหว่ Use-after-free ใน Kernel และช่องโหว่ใน Mali GPU Driver หลังจาก Root เครื่องสำเร็จ Malware จะแทนที่ System Library สำคัญด้วย Wrapper ที่ดักจับ System Call พร้อมทั้งปิดการทำงานของ SELinux และติดตั้ง Recovery Script พร้อมเก็บ Payload สำรองไว้ใน System Partition ซึ่งหมายความว่าแม้จะ Factory Reset เครื่องก็ไม่สามารถกำจัด Malware ตัวนี้ได้

นอกจากนี้ยังมี Watchdog Daemon ที่ตรวจสอบความสมบูรณ์ของ Rootkit ทุก 60 วินาที หากพบว่ามี Component หายไปจะติดตั้งใหม่อัตโนมัติ ในขั้นตอน Post-exploitation โค้ดของผู้โจมตีจะถูก Inject เข้าไปในทุกแอปที่เปิดใช้งานบนเครื่อง โดยเป้าหมายหลักคือ WhatsApp ซึ่ง Malware จะดึงข้อมูลสำคัญที่จำเป็นต่อการ Clone Session ของเหยื่อ ไม่ว่าจะเป็น Encryption Database, Signal Protocol Key และข้อมูลบัญชีอย่างหมายเลขโทรศัพท์และรายละเอียดการ Backup บน Google Drive

ปัจจุบัน Google ได้ลบแอปที่เป็นอันตรายทั้งหมดออกจาก Google Play แล้วหลังจากได้รับแจ้งจาก McAfee ซึ่งเป็นสมาชิกของ App Defense Alliance อย่างไรก็ตาม ผู้ใช้งานที่เคยติดตั้งแอปเหล่านี้ไว้ควรถือว่าอุปกรณ์และข้อมูลถูก Compromise แล้ว เนื่องจาก NoVoice ใช้ช่องโหว่ที่ได้รับการแก้ไขไปถึงเดือนพฤษภาคม 2021 การอัปเกรดไปใช้อุปกรณ์ที่ได้รับ Security Patch ที่ใหม่กว่าจะช่วยป้องกันภัยคุกคามนี้ได้ แนะนำให้ผู้ใช้งาน Android อัปเกรดไปใช้อุปกรณ์รุ่นที่ยังได้รับการสนับสนุน และติดตั้งแอปจากผู้พัฒนาที่น่าเชื่อถือเท่านั้น

ที่มา: https://www.bleepingcomputer.com/news/security/novoice-android-malware-on-google-play-infected-23-million-devices/

Comments

Post a Comment

Popular posts from this blog

ปลดล็อกพลัง Microsoft Defender for Endpoint: 5 Tips & Tricks ที่ Admin สายลุยต้องรู้! (ฉบับปี 2026)

  ปลดล็อกพลัง Microsoft Defender for Endpoint: 5 Tips & Tricks ที่ Admin สายลุยต้องรู้! (ฉบับปี 2026) ในฐานะ IT Admin หรือ System Engineer การมี Tools ดีๆ อย่าง Microsoft Defender for Endpoint (MDE) อยู่ในมือก็เหมือนมีเกราะป้องกันชั้นยอด แต่จะใช้งานอย่างไรให้ "คุ้มค่า" และ "อุดช่องโหว่" ได้จริง? วันนี้ผมสรุปเทคนิคเด็ดๆ ที่จะช่วยให้การจัดการความปลอดภัยง่ายขึ้นและแม่นยำกว่าเดิมมาฝากครับ 1. เลิกเดาด้วย "Effective Settings" Tab (New!) ฟีเจอร์ใหม่ที่เพิ่ง GA (General Availability) เมื่อต้นปี 2026 นี้เลยครับ ปัญหาโลกแตกของ Admin คือ "เซ็ต Policy ไปแล้ว แต่มัน Apply จริงไหม?" Trick: ให้ไปที่หน้า Device Inventory > เลือกเครื่องที่ต้องการ > คลิกแถบ Configuration Management > Effective Settings * หน้าจอนี้จะบอกเลยว่า Setting ตัวไหน "ใช้งานจริง" อยู่ และมาจาก Source ไหน (Intune, GPO หรือ Local) ช่วยให้แก้ปัญหา Policy ตีกันได้ในพริบตา! 2. ยกระดับการป้องกันด้วย "EDR in Block Mode" หลายคนอาจยังใช้ Antivirus ยี่ห้ออื่นควบคู...
Read more

Azure Active Directory / Entra ID: แนวทางการจัดการ Identity อย่างมืออาชีพในยุค Cloud

ในยุคที่องค์กรไทยหันมาใช้งาน Cloud และ Hybrid Work กันอย่างแพร่หลาย การจัดการ Identity ของผู้ใช้งานกลายเป็นหัวใจสำคัญของระบบ IT Security ทั้งองค์กร Microsoft ได้เปลี่ยนชื่อ Azure Active Directory (Azure AD) มาเป็น Microsoft Entra ID อย่างเป็นทางการตั้งแต่ปี 2023 แต่ฟีเจอร์และแนวทางการใช้งานยังคงพัฒนาต่อเนื่องมาจนถึงปัจจุบัน สำหรับ IT Admin ที่ดูแลระบบขององค์กร การทำความเข้าใจแพลตฟอร์มนี้อย่างลึกซึ้งจึงเป็นสิ่งที่ขาดไม่ได้ Microsoft Entra ID ไม่ใช่แค่ "Active Directory บน Cloud" อย่างที่หลายคนเข้าใจผิด แต่มันคือ Identity and Access Management (IAM) Platform ที่รองรับการทำงานแบบ Modern Authentication, Zero Trust Architecture และการ Integrate กับ Application ทั้ง Microsoft และ Third-party ได้อย่างกว้างขวาง ไม่ว่าจะเป็น Salesforce, Google Workspace, หรือแอปพลิเคชันที่องค์กรพัฒนาเอง บทความนี้จะพาคุณสำรวจแนวทางการจัดการ Identity ด้วย Microsoft Entra ID อย่างเป็นระบบ ตั้งแต่การวางโครงสร้างพื้นฐาน ไปจนถึงเทคนิคที่ใช้ได้จริงในสภาพแวดล้อมขององค์กรไทย เหมาะสำหรับ IT Pro ที่กำลังวา...
Read more

ทำความรู้จัก Microsoft Defender XDR: เปลี่ยนจาก "วิ่งไล่จับ" เป็น "คุมทั้งเกม" ด้านความปลอดภัย

  ทำความรู้จัก Microsoft Defender XDR: เปลี่ยนจาก "วิ่งไล่จับ" เป็น "คุมทั้งเกม" ด้านความปลอดภัย หลายคนคงเคยได้ยินคำว่า XDR (Extended Detection and Response) กันมาบ้าง แต่พอพูดถึง Microsoft Defender XDR บางคนอาจจะงงว่า "มันต่างจาก Antivirus ที่มีอยู่ยังไง?" วันนี้ผมจะมาสรุปภาพรวมให้เข้าใจง่ายๆ ว่าทำไม Solution นี้ถึงกลายเป็นหัวใจสำคัญขององค์กรยุคใหม่ครับ 1. มองภาพเดิม: ต่างคนต่างอยู่ (Siloed Security) ลองนึกภาพว่าในบริษัทเรามี "รปภ." คอยเฝ้าจุดต่างๆ แยกกัน: คนหนึ่งเฝ้าประตูหน้า (Email) คนหนึ่งเฝ้าหน้าลิฟต์ (PC/Laptop) คนหนึ่งเฝ้าห้องเก็บของ (Cloud App/Server) คนหนึ่งเฝ้าสมุดลงชื่อ (Identity/User) ปัญหาคือ "รปภ. เหล่านี้ไม่คุยกันครับ" ถ้ามีโจรปลอมตัวผ่านประตูหน้าเข้ามา แล้วไปแอบที่ลิฟต์ ก่อนจะเดินเข้าห้องเก็บของ รปภ. แต่ละจุดอาจจะเห็นความผิดปกติเล็กๆ แต่ไม่มีใครรู้เลยว่า "นี่คือโจรคนเดียวกันที่กำลังออกปฏิบัติการ!" 2. มองภาพ Defender XDR: ศูนย์สั่งการอัจฉริยะ Microsoft Defender XDR คือการเอา รปภ. ทุกจุดมารวมร่างกันแล้วให้มี ...
Read more