แคมเปญมัลแวร์ Android ใหม่ล่าสุดได้ใช้แพลตฟอร์ม Hugging Face เป็นแหล่งเก็บไฟล์ APK ที่มีมัลแวร์หลากหลายรูปแบบหลายพันรายการ ซึ่งมัลแวร์เหล่านี้มีเป้าหมายในการเก็บข้อมูลประจำตัว (credentials) สำหรับบริการทางการเงินและการชำระเงินยอดนิยม Hug แพลตฟอร์มนี้เป็นที่รู้จักในด้านการโฮสต์โมเดล AI และ ML แต่ได้ถูกผู้ไม่หวังดีใช้ประโยชน์เพื่อหลีกเลี่ยงการตรวจจับ มัลแวร์ใช้แอปหลอกลวงชื่อ TrustBastion หรือ Premium Club เป็นตัวส่ง ซึ่งจะทำการดาวน์โหลด RAT ที่สามารถเข้าถึงบริการช่วยเหลือการเข้าถึง (Accessibility Services) ของ Android เพื่อขโมยข้อมูลและแสดงหน้าฟิชชิ่งหลอกผู้ใช้
Severity: วิกฤต
System Impact:
- อุปกรณ์ Android
- แพลตฟอร์ม Hugging Face (ถูกใช้เป็น repository)
- บริการทางการเงินและการชำระเงินยอดนิยม (เช่น Alipay, WeChat)
Technical Attack Steps:
- เหยื่อถูกล่อให้ติดตั้งแอป dropper ชื่อ TrustBastion (หรือ Premium Club) ซึ่งปลอมตัวเป็นเครื่องมือรักษาความปลอดภัยที่อ้างว่าอุปกรณ์ติดเชื้อ
- หลังการติดตั้ง TrustBastion จะแสดงข้อความแจ้งเตือนให้อัปเดตที่จำเป็น ซึ่งเลียนแบบหน้าตาของ Google Play
- Dropper ติดต่อเซิร์ฟเวอร์ C2 (trustbastion[.]com) ซึ่งจะเปลี่ยนเส้นทางไปยัง repository dataset บน Hugging Face
- ไฟล์ APK ที่เป็น payload มัลแวร์จะถูกดาวน์โหลดจากโครงสร้างพื้นฐานของ Hugging Face ผ่าน CDN ของแพลตฟอร์ม
- ผู้โจมตีใช้เทคนิค polymorphism ฝั่งเซิร์ฟเวอร์ โดยสร้าง payload รูปแบบใหม่ทุกๆ 15 นาที เพื่อหลีกเลี่ยงการตรวจจับ
- Payload หลักที่เป็น RAT จะขอสิทธิ์เข้าถึง Android’s Accessibility Services อย่างหนักหน่วง โดยอ้างว่าเป็นสิ่งจำเป็นด้านความปลอดภัย
- เมื่อได้รับสิทธิ์ RAT จะสามารถแสดงหน้าจอซ้อนทับ (screen overlays), บันทึกหน้าจอผู้ใช้, ทำการปัด (swipes) และบล็อกความพยายามในการถอนการติดตั้ง
- มัลแวร์จะตรวจสอบกิจกรรมของผู้ใช้และบันทึกภาพหน้าจอ และส่งข้อมูลทั้งหมดไปยังเซิร์ฟเวอร์ C2 ของผู้โจมตี
- มัลแวร์จะแสดงอินเทอร์เฟซการล็อกอินปลอมที่เลียนแบบบริการทางการเงิน เช่น Alipay และ WeChat เพื่อขโมยข้อมูลประจำตัว
- พยายามขโมยรหัสล็อกหน้าจอของอุปกรณ์
- มัลแวร์จะเชื่อมต่อกับเซิร์ฟเวอร์ C2 ตลอดเวลา เพื่อรับข้อมูลที่ถูกขโมย, คำสั่งในการดำเนินการ, อัปเดตการตั้งค่า และส่งเนื้อหาปลอมภายในแอปเพื่อทำให้ TrustBastion ดูน่าเชื่อถือ
Recommendations:
Short Term:
- หลีกเลี่ยงการดาวน์โหลดแอปจากร้านค้าแอปภายนอก (third-party app stores)
- หลีกเลี่ยงการติดตั้งไฟล์ APK ด้วยตนเอง
- ตรวจสอบสิทธิ์ที่แอปขออย่างรอบคอบและให้แน่ใจว่าสิทธิ์เหล่านั้นจำเป็นต่อการทำงานของแอป
Long Term:
- ติดตั้งแอปพลิเคชันจาก Google Play Store ซึ่งเป็นแหล่งที่เชื่อถือได้เท่านั้น
- ระมัดระวังกลโกง Scareware และการแจ้งเตือนให้อัปเดตที่ไม่พึงประสงค์
- ทำความเข้าใจผลกระทบของการให้สิทธิ์ Accessibility Services แก่แอปพลิเคชัน
- อัปเดตระบบปฏิบัติการ Android และแพตช์ความปลอดภัยอย่างสม่ำเสมอ
- พิจารณาใช้โซลูชันความปลอดภัยบนมือถือจากผู้ให้บริการที่เชื่อถือได้
Share this content: