Trend Micro รายงานการค้นพบแอปมัลแวร์ 2 ตัวบน Play Store ได้แก่ Currency Converter และ BatterySaverMobi ที่หลอกการตรวจจับของกูเกิล หรือแอปแอนตี้ไวรัสอื่นๆ ด้วยการอาศัย Motion Sensor บนสมาร์ทโฟน

ตัวแอปจะดูว่าตัวเองถูกสแกนหรือไม่ก็ด้วยการตรวจสอบจาก Motion Sensor หากเซ็นเซอร์กำลังทำงาน (เวลาเจ้าของเครื่องหยิบมือถือขึ้นมาใช้หรือใส่ในกระเป๋า จะมีการสั่นหรือเคลื่อนที่ตลอดเวลา) แสดงว่าแอปไม่ได้รันอยู่ใน sandbox ของกูเกิลหรือแอนตี้ไวรัส

เมื่อตรวจสอบว่าเป็นการใช้งานของผู้ใช้จริงๆ แอปจะแสดงหน้าต่างอัพเดตเวอร์ชันแอนดรอยด์ปลอมขึ้นมา เมื่อผู้ใช้กดยอมรับ แอปจะส่งคำสั่งไปยังเซิร์ฟเวอร์ C&C (Command & Control) ในรูปของคำสั่งเรียกหน้าเว็บ Telegram และ Twitter ก่อนที่ C&C จะส่งคำสั่ง APK และลิงก์ดาวน์โหลดโทรจัน Anubis กลับมายังเครื่องเหยื่อผ่าน HTTP

Anubis เป็นโทรจันที่ดักข้อมูลการทำธุรกรรมธนาคาร ทั้งการดักข้อมูลการพิมพ์ (keylogger) หรือแอปบันทึกหน้าจอตอนกรอกข้อมูลเพื่อล็อกอินแอปธนาคาร รวมถึงมีสิทธิเข้าถึงรายชื่อติดต่อ, ตำแหน่งที่ตั้ง, ส่งสแปมข้อความไปยังผู้ติดต่อ, บันทึกเสียงและเปลี่ยนแปลงข้อมูลในสตอเรจเครื่อง โดยทาง Trend Micro ระบุว่า Anubis แพร่ไปในกว่า 93 ประเทศ มีแอปทางการเงิน/ธนาคารที่เป็นกลุ่มเป้าหมายกว่า 377 แอป

ตอนนี้กูเกิลนำแอปทั้งสองแอปออกจาก Play Store แล้ว

ที่มา - The Hacker News