นักวิจัยของแคสเปอร์สกี้ตรวจจับแอพพลิเคชั่นโทรจันที่คุกคามผู้ใช้งานด้วยโฆษณาที่ไม่ต้องการและติดตั้งแอพพลิเคชั่นออนไลน์ช้อปปิ้งเองเสร็จสรรพ วิธีนี้สามารถหลอกได้ทั้งผู้ใช้งานและเจ้าของโฆษณาเลยทีเดียว แอพพ์ร้ายนี้จะมุ่งไปที่แอพพ์สโตร์และลงข้อมูลรีวิวต่างๆ โดยใช้ชื่อของผู้ใช้โดยที่เจ้าของไม่รู้ตัว
ในช่วงนี้ ร้านค้ามากมายกำลังจัดโปรโมชั่นลดราคากันต่อเนื่อง ทั้งร้านค้าและลูกค้าเองต่างก็ต้องระแวดระวังให้ดีในการเลือกร้านค้า ลูกค้ามักจะเชื่อถือร้านค้าที่มีรีวิวดีๆ จำนวนมาก ร้านค้าปลีกเองก็ทุ่มงบโฆษณาและจัดโปรโมชั่น แต่เรื่องกลับตาลปัตร เมื่อสิ่งที่เห็นออนไลน์นั้นเชื่อไม่ได้ ด้วยมีแอพพลิเคชั่นโทรจันที่ปั่นเรตติ้งให้แอพพ์ช้อปปิ้ง แถมติดตั้งและแพร่กระจายโฆษณาจำนวนมากจนก่อให้เกิดความรำคาญ
ในครั้งแรกนักวิจัยสังเกตเห็นลักษณะการใช้ Google Accessibility Service และการทำงานแบบคลุมเครือของโทรจัน “ช้อปเปอร์” (Shopper) โดยปกติแล้ว เซอร์วิสนี้จะมีฟีเจอร์ที่ออกแบบมาเพื่อช่วยเหลือผู้พิการ ให้ผู้ใช้สามารถตั้งค่าเสียงเพื่ออ่านเนื้อหาของแอพพ์และมียูสเซอร์อินเทอร์เฟซที่โต้ตอบได้อย่างอัตโนมัติ แต่ผู้ร้ายไซเบอร์กลับใช้ฟีเจอร์นี้เพื่อก่อภัยคุกคามแก่เจ้าของดีไวซ์
เมื่อมัลแวร์ได้รับสิทธิให้ใช้เซอร์วิสนี้ก็จะสามารถเข้าถึงแอพพลิเคชั่นและซิสเต็มอินเตอร์เฟซที่ใช้โต้ตอบได้อย่างไม่จำกัด มัลแวร์จะสามารถแคปหน้าจอ กดปุ่ม และเลียนแบบท่าทางของผู้ใช้งานได้ นักวิจัยยังไม่ทราบแน่ชัดว่าแอพพลิเคชั่นนี้แพร่กระจายได้อย่างไรแต่คาดว่าอาจเป็นการดาวน์โหลดจากโฆษณาปลอมหรือแอพพ์สโตร์เธิร์ดปาร์ตี้ แอพพ์นี้จะปลอมตัวเป็นซิสเต็มแอพพลิเคชั่นและใช้ไอคอนชื่อ ConfigAPKs เพื่อหลบซ่อนตัว หลังจากที่ปลดล็อกหน้าจอแล้ว แอพพ์จะเปิดตัวเอง เก็บข้อมูลเกี่ยวกับเหยื่อเจ้าของดีไวซ์ และส่งไปยังเซิร์ฟเวอร์ของผู้ร้าย เซิร์ฟเวอร์จะส่งคำสั่งกลับมายังแอพพลิเคชั่น ซึ่งสามารถดำเนินการต่างๆ ได้แก่
– ใช้แอคเคาต์กูเกิลหรือเฟซบุ๊กของเจ้าของเครื่องเพื่อลงทะเบียนใช้งานแอพพ์ช้อปปิ้งหรือแอพพ์บันเทิงอื่นๆ เช่น AliExpress, Lazada, Zalora, Shein, Joom, Likee และ Alibaba
– เขียนรีวิวต่างๆ ใน Google Play ในชื่อเจ้าของเครื่อง
– ตรวจสอบสิทธิการใช้งาน Accessibility Service ถ้ายังไม่ได้รับสิทธิก็จะส่งพิชชิ่งคำขอใช้งาน
– ปิด Google Play Protect ซึ่งเป็นฟีเจอร์ตรวจสอบความปลอดภัยของแอพพ์ใน Google Play Store ก่อนจะถูกดาวน์โหลด
– เปิดลิงก์ที่ได้จากเซิร์ฟเวอร์ในวินโดว์ล่องหนและซ่อนตัวเองจากแอพพ์เมนูได้
– เปิดโฆษณาเองได้หลังจากปลดล็อกหน้าจอดีไวซ์ และสร้างโฆษณาในแอพพ์เมนู
– ดาวน์โหลดและติดตั้งแอพพลิเคชั่นจากตลาด Apkpure[.]com
– เปิดและดาวน์โหลดแอพพลิเคชั่นจาก Google Play
สัดส่วนของเหยื่อที่ถูก Trojan-Dropper.AndroidOS.Shopper.a โจมตีมากที่สุดช่วงเดือนตุลาคม-พฤศจิกายน 2019 คือรัสเซีย อยู่ที่ 28.46% ตามด้วยบราซิล 18.70% และอินเดีย 14.23%
อิกอร์ โกโลวิน นักวิเคราะห์มัลแวร์ของแคสเปอร์สกี้ กล่าวว่า “ถึงแม้ว่าอันตรายของแอพพ์ร้ายนี้จำกัดอยู่ที่โฆษณาที่ไม่ต้องการ รีวิวปลอม และเรตติ้งปลอมที่ใช้ชื่อของเหยื่อโดยไม่รู้ตัว แต่ก็ไม่มีอะไรรับรองได้ว่าผู้ร้ายที่สร้างแอพพ์นี้จะไม่เพิ่มหรือเปลี่ยนเป้าหมายไปอย่างอื่น แอพพ์นี้พุ่งเป้าไปที่ร้านค้า แต่มีความสามารถในการกระจายข้อมูลลวงไปยังแอคเคาต์โซเชียลมีเดียของเหยื่อ และแพลตฟอร์มอื่นๆ เช่น สามารถแชร์วิดีโอบนเพจส่วนตัว และปล่อยข้อมูลลวงต่างๆ สู่อินเตอร์เน็ต”
โดยผลิตภัณฑ์ของแคสเปอร์สกี้สามารถตรวจจับและสกัดมัลแวร์ช้อปเปอร์ได้ Trojan-Dropper.AndroidOS.Shopper.
สำหรับคำแนะนำเพื่อลดความเสี่ยงในการถูกมัลแวร์ลักษณะนี้โจมตี คือ ระวังแอพพ์ที่ขอเข้าใช้ Accessibility Service โดยไม่จำเป็น, ตรวจสอบการอนุญาตสิทธิแอพพลิเคชั่นต่างๆ อย่างสม่ำเสมอ, อย่าติดตั้งแอพพ์จากแหล่งที่ไม่น่าเชื่อถือ และตั้งค่าบล็อกการติดตั้งแอพพ์จากแหล่งที่ไม่รู้จัก และใช้โซลูชั่นเพื่อความปลอดภัยสำหรับโมบาย อย่างเช่น Kaspersky Internet Security for Android ที่สามารถ
ช่วยระบุคำขอที่อาจเป็นอันตรายหรือคำขอที่ส่งจากแอพพลิเคชั่นที่น่าสงสัย และอธิบายความเสี่ยงที่เกิดจากคำขอแต่ละประเภท
