ภัยของผู้ใช้แอนดรอยด์…แอพแอดแวร์ 85 รายการใน Google Play ถูกติดตั้งแล้ว 9 ล้านครั้ง

แอพ 85 รายการใน Google Play ที่ถูกติดตั้งโดยผู้ใช้ทั่วโลกไปแล้ว 9 ล้านครั้งมาพร้อมกับแอดแวร์ที่มีความสามารถในการแสดงโฆษณาแบบเต็มหน้าจอในช่วงเวลาปกติหรือเมื่อผู้ใช้ปลดล็อคอุปกรณ์

ไม่มีแอพตัวไหนเลยที่มีฟังก์ชั่นการใช้งานจริงและจุดประสงค์ที่แท้จริงของพวกเขาคือการทำเงินให้กับนักพัฒนาแอพเหล่านั้นโดยการวางโฆษณาบนอุปกรณ์ที่ถูกติดตั้งแอพไว้

แอดแวร์แฝงตัว

แอพปลอมถูกปลอมแปลงเป็นเกม (จำลองการขับรถยนต์) แอพสำหรับสตรีมช่องทีวีจากหลายๆ ประเทศ (บราซิล แคนาดา แอฟริกาใต้ สเปน) หรือว่าเป็นรีโมทคอนโทรลสำหรับทีวี นักวิจัยมัลแวร์ของเทรนด์ไมโครเปิดเผยว่าแอดแวร์ (ตรวจพบว่าเป็น AndroidOS_HidenAd) ที่ถูกแพร่กระจายด้วยวิธีนี้สามารถซ่อนตัวเองและทำงานอยู่เบื้องหลัง และทำหน้าที่ตรวจสอบสถานะการล็อคของอุปกรณ์

แอพปลอมที่ได้รับความนิยมมากที่สุดคือ Easy Universal TV Remote ซึ่งได้รับการปรับปรุงล่าสุดเมื่อวันที่ 12 พฤศจิกายน 2561 ไม่มีความชัดเจนว่าอยู่ใน Google Play มานานแค่ไหน แต่ก็ถูกติตั้งไปแล้วมากกว่า 5 ล้านครั้ง

หากนับจากการให้คะแนนและจำนวนความเห็นของผู้ใช้แอพปลอมที่อยู่มาอย่างยาวนานตัวนี้มีคะแนนเฉลี่ย 3.9 ดาวจากผู้ใช้แอนดรอยด์กว่า 132,000 คน

รายการเปลี่ยนแปลงของแอพแสดงรายละเอียดจากเวอร์ชั่น 1.2 เมื่อผู้พัฒนาประกาศความสามารถในการทำงานเข้ากันได้กับโทรทัศน์ Ikea (Uppleva) ซึ่งเป็นโครงการที่ผู้ค้าปลีกเริ่มต้นในปี 2555 และเป็นรุ่นที่สองนับตั้งแต่ปี 2557

การพัฒนาที่แตกต่างกันกลยุทธ์การผลักโฆษณาคล้ายกัน

Ecular Xu ของเทรนด์ไมโครกล่าวว่าแอพทั้งหมดที่ส่งมอบแอดแวร์ HidenAd แสดงพฤติกรรมที่คล้ายคลึงกันแม้ว่าจะมาจากนักพัฒนาซอฟต์แวร์ที่แตกต่างกันและถูกลงทะเบียนด้วยใบรับรองที่ต่างกัน

เมื่อผู้ใช้เปิดตัวแอดแวร์บนอุปกรณ์มันจะเปิดป๊อปอัพเต็มหน้าจอขึ้นมาก่อนเป็นอันดับแรก การปิดโฆษณาจะเผยให้เห็นสิ่งที่ดูเหมือนว่าจะเป็นปุ่มของแอพ (‘start,’ ‘open app,’ ‘next’)  แต่การแตะปุ่มเหล่นั้นก็จะเป็นการเปิดหน้าโฆษณาแบบเต็มหน้าจออีกรายการหนึ่งขึ้นมา

Xu อธิบายในโพสต์บล็อกว่า “หลังจากที่ผู้ใช้ออกจากโฆษณาเต็มหน้าจอแล้ว ก็จะมีปุ่มต่างๆ ที่เกี่ยวข้องกับแอพดังกล่าวโผล่ขึ้นมาขึ้นมาบนหน้าจอให้ผู้ใช้เลือก นอกจากนี้ยังแจ้งให้ผู้ใช้ให้คะแนนแอปห้าดาวบน Google Play ซึ่หากผู้ใช้คลิ๊กปุ่มใดปุ่มหนึ่ง โฆษณาแบบเต็มหน้าจอก็จะโผล่ขึ้นมาอีกครั้ง”

หากผู้ใช้ยืนยันการใช้แอพ หน้าจอการโหลดจะปรากฏขึ้นและอินเทอร์เฟซของแอพปลอมจะหายไป แต่มันยังคงทำงานอยู่เบื้องหลัง

พฤติกรรมอีกอย่างของแอพที่แอดแวร์แฝงตัวอยู่คือการผลักโฆษณาทุกครั้งที่ผู้ใช้ปลดล็อคหน้าจออุปกรณ์

กูเกิ้ล ต้องปัดกวาด Play Store

แอพปลอม 85 รายการที่พบและรายงานโดยเทรนด์ไมโครไม่ได้เป็นเพียงแอพพลิเคชันเดียวที่ดึงดูดผู้ใช้แอนดรอยด์อย่างรวดเร็ว

อีกตัวอย่างล่าสุดคือแอพพยากรณ์อากาศที่ถูกติดตั้งไปแล้วอย่างน้อย 5 ล้านครั้งตามสถิติใน Google Play ที่มีให้ผ่านการจับภาพเพจใน Wayback Machine  ซึ่งแอพตัวนี้ได้รับการพัฒนาโดย ทีซีแอล  นักพัฒนาชาวจีน และยังติดตั้งมาให้ล่วงหน้าพร้อมกับโทรศัพท์บางรุ่นจากอัลคาเทล (ที่มีบริษัทสัญชาติฟินแลนด์อย่างโนเกียเป็นเจ้าของ และใช้ภายใต้ลิขสิทธิ์โดยบริษัทอิเล็กทรอนิกส์ของจีนอย่าง ทีซีแอล คอร์ปอเรชั่น)

บริษัทรักษาความปลอดภัยมือถือ อัพสตรีม พบว่าตัวแปรที่มีอยู่ใน Play Store ขอชุด “สิทธิ์พิเศษและมีความเสี่ยงสูง” แอพประเภทนี้ไม่ต้องการการทำงานปกติเช่นอ่านไฟล์บันทึกของระบบระดับต่ำ

จากการตรวจสอบขออัพสตรีมพบว่าแอพกำลังแอบโฆษณาอยู่เบื้องหลังผู้ใช้โดยเข้าถึงหน้าเว็บต่างๆ แล้วโฆษณาโดยไม่ต้องมีการโต้ตอบใด ๆ

ซึ่งกิจกรรมเหล่านี้ทำให้เหยื่อต้องเสียนเงินไปกับทราฟิกบนมือถือขนาด 250 เมกะไบต์ทุกวัน และสมัครเป็นสมาชิกเพื่อรับบริการระดับพรีเมียมในบราซิล Upstream ประเมินว่าแอพพยากรณ์อากาศปลอมสร้างความพยายามในการทำธุรกรรมมากกว่า 27 ล้านครั้งซึ่งอาจทำให้ผู้ใช้ต้องเสียค่าใช้จ่าย 1.5 ล้านดอลลาร์จากการเรียกเก็บเงินที่ไม่ถูกต้อง

กูเกิ้ลได้ลบแอพจากการรายงานของเทรนด์ไมโคร และแอพจากการวิเคราะห์ของอัพสตรีมไปแล้ว

ที่มา: https://www.bleepingcomputer.com/news/security/85-adware-apps-in-google-play-installed-9-million-times/