Lookout นักวิจัยผู้เชี่ยวชาญด้านความปลอดภัย ค้นพบมัลแวร์ Rootkit ฝังตัวอยู่บนแอปฯมือถือใน Android ที่จะให้เหยื่อดาวโหลดมาจาก Google Play , Amazon App Store , และ Samsung Galaxy Store และแอปจาก ‘3rd party’
Rootkit ตัวนี้มีชื่อว่า ‘AbstractEmu’ หลังจากที่มีการตรวจสอบแอปพลิเคชั่นที่เกี่ยวข้องกว่า 19 รายการ ซึ่งคาดว่าถูกใช้เป็นแอปพลิเคชั่นในการแพร่กระจายไวรัสตัวนี้ ตรวจพบว่ามีถึง 7 แอปพลิเคชันที่เจอ AbstractEmu แอบฝังตัวอยู่ ส่วนมากเป็นแอปพลิเคชันที่เกี่ยวกับการบูทแอปฯ บูทเครื่อง จัดการความปลอดภัย และแอปฯจัดการพาสเวิร์ด หนึ่งในนั้นมีแอปฯที่ถูกดาวน์โหลดไปแชเยมากกว่า 10,000 ครั้ง ใน Google Play Store แต่ปัจจุบัน Google ได้ทำการถอดแอปฯดังกล่าวออกแล้ว
รายชื่อแอปพลิเคชันที่ตรวจพบตอนนี้ประกอบไปด้วย1. All Passwords, com.mobilesoft.security.password2.Anti-ads Browser, com.zooitlab.antiadsbrowser3. Data Saver, com.smarttool.backup.smscontacts4. Lite Launcher, com.st.launcher.lite5. My Phone, com.dentonix.myphone6. Night Light, com.nightlight.app7. Phone Plus, com.phoneplusapp
Rootkit คืออะไร ?
Rootkit เป็นมัลแวร์ที่จะทำงานหลังจากผู้ใช้แอปฯเผลอติดตั้งแอปพลิเคชันที่มี AbstractEmu ไป กระบวนการติดไวรัสจะเกิดขึ้น และมันจะเข้าไปฝังตัวแอบยึดการทำงานในระบบของคุณเงียบ ๆ โดยที่คุณไม่รู้ตัว และจะแอบฝังโปรแกรมอื่น ๆ รวมถึงมัลแวร์ประเภทอื่น ๆ มาใช้โจมตีเพื่อล้วงเอาข้อมูลสำคัญต่าง ๆ ไม่ว่าจะเป็นรายชื่อ ผู้ติดต่อ บันทึกการโทรศัพท์ ข้อความ SMS ตำแหน่งที่ตั้ง กล้อง รูป และ ไมโครโฟน เป็นต้น
ร้ายแรงกว่านั้นด้วยการเข้ายึดระบบของ Rootkit จะทำให้มันสามารถ เข้าถึงการ รีเซ็ตรหัสผ่านบนอุปกรณ์ เข้ายึดการทำงานของเครื่อง, ติดตั้งแอปอื่น ๆ เพิ่มเติม, จับภาพหน้าจอ, ดูการแจ้งเตือน, บันทึกกิจกรรม, และปิดฟังก์ชัน Google Play Protect ได้ทั้งหมด
ตอนนี้นักวิจัยยังไม่ทราบเป้าหมายสูงสุดของการปล่อยมัลแวร์ดังกล่าว เนื่องจากปกติแล้วมัลแวร์ Rootkit จะตรวจพบได้ยากอยู่แล้ว หนำซ้ำเซิฟเวอร์สั่งการของมันยังออฟไลน์ไปก่อนที่นักวิจัยจะสาวถึงต้นตอได้สำเร็จ
ซึ่งพวกเขายังคงกังวลว่าความอันตรายของมัลแวร์ตัวนี้เกินกว่าที่จะคาดเดาความเสียหายได้ และ มันคงไม่ได้ต้องการแค่หลอกเอาข้อมูลผู้ใช้ หรือ ไปสมัครบริการ SMS ระดับพรีเมียมเพื่อขโมยเงินเหมือนที่แฮกเกอร์ทั่วไปทำ