Android

Krysanec โทรจันที่แอบอยู่ในแอพพลิเคชั่นที่ถูกลิขสิทธิ์

Sberbank-mobile-banking-app
หนึ่งในคำแนะนำเล็กๆ สำหรับผู้ใช้แอนดรอยด์ที่เราเตือนกันก็คือ อย่าดาวน์โหลดไฟล์จากแหล่งที่ไม่น่าเชื่อถือ และพยายามดาวน์โหลดไฟล์จากเว็บที่ให้บริการอย่าง Google Play โดยทั่วไปมัลแวร์จะทำงานในช่วงเวลาหนึ่ง ซึ่ง Google Bouncer มีหน้าที่ในการตรวจสอบมัลแวร์ที่แฝงอยู่ในแอพพลิเคชั่นก่อนที่จะส่งขึ้นไปอยู่ใน Google Play ซึ่งดูน่าจะปลอดภัย

ทีมงาน ESET ค้นพบว่ามีการตรวจพบมัลแวร์ในแอพพลิเคชั่นใน Google Play ที่ควรจะผ่านการตรวจสอบแล้ว เราพบ RAT (Remote Access Trojan) โทรจันสำหรับควบคุมระยะไกลในแอพพลิเคชั่นที่ควรจะปลอดภัย ทีนี้เราลองมาดูกันว่ามัลแวร์แฝงมากับแอพพลิเคชั่นเหล่านี้ได้อย่างไร เราจะมั่นใจกับแอพพลิเคชั่นอะไรได้บ้าง

การแพร่กระจาย

หนึ่งในการติดมัลแวร์ที่พบบ่อยมากที่สุดก็คือ การที่มัลแวร์ปลอมตัวเองให้ดูคล้ายหรือเป็นส่วนหนึ่งของซอฟต์แวร์ที่ถูกลิขสิทธิ์เช่นเกมต่างๆ บ่อยครั้งที่มีการปล่อยฟังก์ชั่นเสริมของเกมมาให้ดาวน์โหลด ซึ่งจะมีมัลแวร์ติดมาด้วย นอกจากนี้ยังมีการปล่อยมัลแวร์ในรูปแบบของโปรแกรม Cracked เพื่อให้สามารถใช้โปรแกรมที่จะต้องเสียเงินซื้อนั้น สามารถใช้งานได้แบบฟรีๆ แม้จะเสี่ยงแต่คนส่วนใหญ่ก็ยังชอบที่จะใช้งานโปรแกรม Cracked เหล่านี้

spaces.ru-hosting-android-spy.krysanec

ทีมงาน ESET ตรวจพบโทรจันประเภท Backdoor (เปิดช่องโหว่ให้แฮกเกอร์เข้ามาในระบบ) ชื่อของมัลแวร์ตัวนี้คือ Android/Spy.Krysanec ตรวจพบในแอพพลิเคชั่น MoblieBank ของธนาคาร Russian Sberbank แอพพลิเคชั่น 3G Traffic Guard แอพพลิเคชั่นสำหรับตรวจสอบการใช้ข้อมูล 3G และแอพพลิเคชั่นอื่นๆ รวมไปถึง ESET Mobile Security

โดยทั่วไปแอพพลิเคชั่นบนแอนดรอยด์จะมีมาตรการการรับมือการติดตั้งแอพลิเคชั่นที่ไม่ปลอดภัยหรือไม่น่าเชื่อถือด้วยใบรับรองดิจิตอล (Digital Certificate) จากนักพัฒนา การติดตั้งจะต้องมีการตรวจสอบใบรับรองติจิตอล แต่การทำงานของ Krysanec จะมาพร้อมแอพพลิเคชั่นเวอร์ชั่น Cracked ที่ไม่มีใบรับรองดิจิตอล ซึ่งสามารถติดตั้งได้กับอุปกรณ์ใดก็ได้ แอพพลิเคชั่นเหล่านี้สามารถหาได้จากแหล่งดาวน์โหลดที่ไม่น่าเชื่อถือ

นอกจากนี้ยังพบว่ามัลแวร์มีการกระจายตัวในช่องทางอื่นๆ อีก เช่น ระบบ File Sharing อย่าง Warez หรือเว็บโซเชี่ยลเน็ตเวิร์กในรัสเซีย จากรูปด้านล่างจะแสดงถึงบัญชีรายชื่อที่มีโทรจันแอบอยู่ในแอพพลิเคชั่นที่ถูกลิขสิทธิ์

Spaces.ru-hosting-trojan

 

รูปแบบการทำงาน

การทำงานของมัลแวร์นั้นจะอยู่ในรูปแบบ RAT (Remote Access Trojan) โดยที่มัลแวร์ Android/Spy.Krysanec จะค้นหาข้อมูลจากเครื่องที่ติดเชื้อ แล้วทำการเชื่อมต่อกับเซิร์ฟเวอร์ Command & Control (C&C) ของแฮกเกอร์ จากนั้นจะดาวน์โหลดและติดตั้งโมดูลลงไป

 

โมดูลที่ติดตั้งลงไปจะทำให้แฮกเกอร์สามารถควบคุมอุปกรณ์ได้ดังนี้

  • ถ่ายรูป
  • บันทึกเสียงผ่านไมโครโฟน
  • เปิด GPS เพื่อแสดงที่ตั้งของอุปกรณ์
  • แสดงรายชื่อแอพพลิเคชั่นที่ติดตั้งลงไปแล้ว
  • แสดงเว็บไซต์ที่เข้าชม
  • แสดงสถานที่ที่ใช้โทรศัพท์
  • แสดงรายชื่อในโทรศัพท์
  • ควบคุมการรับส่ง SMS หรือ Whatsapp
  • และอื่นๆ

Android-Spy.Krysanec-control-panel

 

เซิร์ฟเวอร์ C&C
มีเรื่องน่าสนใจเมื่อมีการวิเคราะห์การเชื่อมต่อระหว่างมัลแวร์กับเซิร์ฟเวอร์ C&C พบว่ามีการเชื่อมต่อไปยังผู้ให้บริการ Dynamic DNS ที่ชื่อ no-ip.com ซึ่งเคยเป็นข่าวกับหน่วยงาน Digital Crime Unit ของไมโครซอฟท์ที่มีการเปิดเผยชื่อของโดเมน 22 แห่งที่มีการแพร่กระจายมัลแวร์ แต่ในที่สุดไมโครซอฟท์ก็ยกเลิกข่าวนี้

 

ในขณะที่เครื่องมือ Remote Access สำหรับแอนดรอยด์จะเป็นที่นิยมน้อยกว่าการแพร่ระบาดในวินโดวส์ แต่จุดที่เหมือนกันก็คือ การพุ่งเป้าไปที่ผู้ใช้งานซึ่งดาวน์โหลดแอพพลิเคชั่น ไม่เพียงแต่ ESET Mobile Security แต่ยังรวมถึงแอพพลิเคชั่นที่มากจากแหล่งที่น่าเชื่อถืออย่าง Google Play Store สิ่งที่เกิดขึ้นนี้ถือเป็นบทเรียนที่สำคัญในการระมัดระวังในการอนุญาติคำขอจากแอพพลิเคชั่นต่างๆ

Welivesecurity

0 comments on “Krysanec โทรจันที่แอบอยู่ในแอพพลิเคชั่นที่ถูกลิขสิทธิ์

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: