Digital Law
- 10 ก.ย. 57
-
1324
-
ระวังภัย มัลแวร์ใน Android (แจ้ง.apk, รับทราบ.apk) แพร่กระจายด้วยการส่ง SMS
วันที่ 26 สิงหาคม 2557 ไทยเซิร์ตได้รับแจ้งข้อมูลอีกครั้ง ถึงการเปลี่ยนลิงก์ที่ใช้เผยแพร่ไฟล์มัลแวร์ (แจ้ง.apk) มาเป็น http://goo.gl/lNFLXN อย่างไรก็ตามจากการประสานงานแก้ไขปัญหาและตรวจสอบล่าสุดพบว่าลิงก์ดังกล่าวถูกปิดกั้นการเข้าถึงแล้ว รวมถึงในวันนี้ทาง บริษัท AIS ได้พัฒนาแอปพลิเคชันสำหรับอำนวยความสะดวกให้ผู้ใช้งานได้ตรวจสอบและถอนการติดตั้งของมัลแวร์ตัวดังกล่าวบนระบบปฏิบัติการณ์ Android โดยใช้ชื่อแอปพลิเคชันว่า “AIS Malware Remover” ผู้ใช้งานสามารถดาวน์โหลดได้แล้วที่ Google Play โดยมีตัวอย่างการใช้งานตามรูปด้านล่าง
รูปตัวอย่างแอปพลิเคชัน “AIS Malware Remover” ที่หน้าแรก กรณีที่มัลแวร์ถูกติดตั้งอยู่
รูปตัวอย่างการทำงานของแอปพลิเคชันในขั้นตอนที่ 1 (ยกเลิกการให้สิทธิ Device administration)\
รูปตัวอย่างการทำงานของแอปพลิเคชันในขั้นตอนที่ 2 (ถอนการติดตั้งแอปพลิเคชันมัลแวร์)
วันที่ 23 สิงหาคม 2557 ไทยเซิร์ตได้รับแจ้งข้อมูลอีกครั้ง ถึงการเปลี่ยนลิงก์ที่ใช้เผยแพร่ไฟล์มัลแวร์ (รับทราบ.apk) มาเป็น http://goo.gl/AjT773 อย่างไรก็ตามจากการตรวจสอบล่าสุดพ[ว่าลิงก์ที่ได้รับแจ้งในวันที่ 22 สิงหาคม 2557 ได้ถูกปิดกั้นและไม่สามารถเข้าถึงได้แล้ว และหากผู้ใช้งานท่านใดพบลิงก์มัลแวร์ที่เปลี่ยนแปลงไป สามารถแจ้งเข้ามายังไทยเซิร์ตเพื่อให้ประสานปิดกั้นการเข้าถึงได้ทันที
วันที่ 22 สิงหาคม 2557 ไทยเซิร์ตได้รับแจ้งข้อมูลเพิ่มเติมว่าผู้ไม่ประสงค์ดีมีการเปลี่ยนลิงก์ที่ใช้เผยแพร่ไฟล์มัลแวร์มาเป็น http://goo.gl/q87XnM เนื่องจากลิงก์ที่พบในวันที่ 21 สิงหาคม 2557 นั้นถูกปิดกั้นและไม่สามารถเข้าถึงได้แล้ว โดยพบว่าเมื่อคลิกลิงก์ดังกล่าวจะมีการ Redirect ไปยังเว็บไซต์ Dropbox เพื่อดาวน์โหลดไฟล์มัลแวร์ชื่อ รับทราบ.apk มาติดตั้ง โดยการตรวจสอบข้อมูลไฟล์ .apk ดังกล่าวด้วยใช้เว็บไซต์ Virustotal พบว่าเป็นโทรจันที่มีความสามารถในการขโมยข้อมูล SMS เป็นหลัก [1] ซึ่งมีลักษณะที่คล้ายกับมัลแวร์ที่มีเป้าหมายเพื่อโจมตีผู้ใช้งานระบบธุรกรรมออนไลน์ต่างๆ เช่น e-Banking ด้วยการขโมย SMS มาใช้ในการทำธุรกรรมออนไลน์ ตามที่เคยเกิดขึ้นมาแล้วในอดีต และเมื่อมีการนำไฟล์มัลแวร์ทั้งหมดมาทำการ Decompile พบว่าซอร์สโค้ดของไฟล์มัลแวร์ แจ้ง.apk (พบในวันที่ 13 สิงหาคม 2557) ไฟล์มัลแวร์ รับทราบ.apk (พบในวันที่ 21 สิงหาคม 2557) ไฟล์มัลแวร์ รับทราบ.apk (พบในวันที่ 22 สิงหาคม 2557) มีการทำงานเหมือนกันทุกประการ (ผู้อ่านสามารถศึกษาพฤติกรรมเบื้องต้นของมัลแวร์ตัวนี้ได้จากข้อมูลด้านล่าง)
วันที่ 21 สิงหาคม 2557 ไทยเซิร์ตได้รับข้อมูลเพิ่มเติมว่าผู้ไม่ประสงค์ดีทำการส่งข้อความ SMS ไปยังผู้ใช้งานกลุ่มหนึ่ง โดยมีความพยายามเปลี่ยนแปลงข้อความให้แตกต่างไปจากวันที่ 13 สิงหาคม 2557 ว่า รับทราบ.apk และหากผู้ใช้งานคลิกไปยังลิงก์ดังกล่าวจะพบหน้าเว็บไซต์ Dropbox ที่ให้ดาวน์โหลดไฟล์ชื่อ รับทราบ.apk [2]
จากการตรวจสอบข้อมูลไฟล์ .apk ดังกล่าวโดยใช้เว็บไซต์ Virustotal พบว่าเป็นโทรจันที่มีความสามารถเช่นเดียวกับไฟล์มัลแวร์ชื่อ แจ้ง.apk เช่น การอ่านรายชื่อผู้ติดต่อ อ่าน แก้ไข และรับส่งข้อความ SMS รวมถึงเชื่อมต่ออินเทอร์เน็ต เป็นต้น[1]
ข้อมูลทั่วไป
เมื่อวันที่ 13 สิงหาคม 2557 ไทยเซิร์ตได้รับรายงานว่ามีผู้ใช้งานโทรศัพท์มือถือระบบปฏิบัติการ Android ได้รับ SMS ข้อความ “(ชื่อผู้ติดต่อในโทรศัพท์), แจ้งให้ทราบการจัดส่งของคุณ http://goo.gl/NPD8sd” ซึ่งเมื่อเปิดลิงก์จะพาไปยังหน้าเว็บไซต์ Dropbox ซึ่งเป็นเว็บไซต์บริการรับฝากไฟล์ เพื่อดาวน์โหลดไฟล์ชื่อ แจ้ง.apk เมื่อติดตั้งแอปพลิเคชันจากไฟล์ .apk ดังกล่าวลงในเครื่องแล้ว แอปพลิเคชันนี้จะลักลอบส่ง SMS ออกไปยังหมายเลขโทรศัพท์อื่นๆ ที่ถูกบันทึกอยู่ในเครื่อง เพื่อแพร่กระจายมัลแวร์ไปยังผู้ใช้รายอื่น [3] [4] จากการตรวจสอบโดยไทยเซิร์ตพบว่า แอปพลิเคชันดังกล่าวมีลักษณะเป็นโปรแกรมไม่พึงประสงค์ ผู้ใช้งานโทรศัพท์มือถือระบบปฏิบัติการ Android ควรตรวจสอบ SMS ที่น่าสงสัยและหลีกเลี่ยงการดาวน์โหลดหรือติดตั้งแอปพลิเคชันดังกล่าว
จากการวิเคราะห์ไฟล์ .apk ไทยเซิร์ตพบว่าแอปพลิเคชันดังกล่าวมีการร้องขอสิทธิ์การทำงาน (Permission) ที่น่าสงสัย แ ซึ่งการขอสิทธิ์ในลักษณะนี้ แอปพลิเคชันสามารถขโมยข้อมูลหรือทำให้ผู้ที่ติดตั้งแอปพลิเคชันดังกล่าวเสียเงินค่าส่ง SMS เป็นจำนวนมากได้ นอกจากนี้ แอปพลิเคชันยังมีการร้องขอสิทธิ์ Device administration ในการล็อกหน้าจอ ซึ่งเป็นที่น่าสังเกตว่าการร้องขอสิทธิ์ดังกล่าวอาจมีจุดประสงค์ที่ไม่ดีอื่น ๆ อีกด้วย
รายละเอียดเพิ่มเติม >> คลิก