Malware

ธุรกรรมออนไลน์บน Android ตกอยู่ในความเสี่ยง โทรจันที่แปลงร่างเป็น Flash Player

เหล่าบรรดาผู้ใช้แอปพลิเคชั่นทำธุรกรรมออนไลน์ ระวังโทรจันที่กำลังโจมตีธนาคารใหญ่ๆใน ออสเตเรีย นิวซีแลนด์ และตุรกี มัลแวร์ตัวนี้ถูกพบโดย ESET ในชื่อ Android/Spy.Agent.SI ซึ่งสามารถขโมยข้อมูลประจำตัวของผู้ใช้ได้มากกว่า 20 ธนาคาร

การวิเคราะห์

มัลแวร์ตัวนี้ปลอมตัวเป็นแอปพลิเคชั่น Flash Player ด้วยไอคอนเดียวกันกับแอปพลิเคชั่นจริง

ซึ่งมีให้ดาวน์โหลดในหลายเซอฟเวอร์ ที่เริ่มให้บริการในช่วงปลายเดือนมกราคมถึงกุมภาพันธ์ 2016 น่าแปลกที่ลิงก์ที่เชื่อมไปถึงไฟล์ APK เปลี่ยนทุกชั่วโมง สันนิษฐานว่าเพื่อหลบหลีการตรวจจับของโปรแกรมแอนตี้ไวรัส

Figure_1a

Figure_1b

หลักจากติดตั้งแอปพลิเคชั่น ผู้ใช้จะถูกขออนุญาตให้แอปพลิเคชั่นเปิดกลไกป้องกันตัวเองเพื่อป้องกันการถูกถอนการติดตั้งออกจากเครื่อง และไอคอน Flash Player จะถูกซ่อนจากการมองเห็นของผู้ใช้แต่มัลแวร์ยังคงทำงานอยู่ข้างหลัง

หลังจากนั้นมัลแวร์จะติดต่อกับเซอฟเวอร์ โดยมัลแวร์จะส่งข้อมูลต่างๆเกี่ยวกับตัวเครื่อง เช่น เวอร์ชั่น ภาษา รหัสเครื่อง ฯลฯ ทุกๆ 25 วินาที จนกระทั่งส่งไฟล์แอปพลิเคชั่นธุรกรรมไปที่เซอฟเวอร์

โดยมัลแวร์จะแสดงทับตัวแอปพลิเคชั่นจริง คล้ายกับกลลวง Phishing ที่ไม่สามารถปิดจนกว่าจะกรอกข้อมูลครบ ซึ่งมัลแวร์ไม่สามารถตรวจสอบความถูกต้องของข้อมูลได้ แต่จะส่งไปยังเซอฟเวอร์และหน้านั้นก็จะถูกปิดลง โดยจุดประสงค์จริงๆของมัลแวร์คือข้อมูลรหัสบัญชี

กระบวนการการทำงาน

เมื่อแอปพลิเคชั่นเปิดขึ้นมา มัลแวร์จะเปิดหน้าล็อคอินปลอมที่ปิดไม่ได้เพื่อให้กรอกข้อมูล

Figure_2-hjcmy

หลังจากที่กรอกข้อมูลลงบนแอปพลิเคชั่นปลอมแอปพลิเคชั่นตัวจริงจะแสดงขึ้นมา อย่างที่เราบอกก่อนหน้านี้ข้อมูลทั้งหมดจะถูกบันทึก เพราะมีจุดประสงค์เพื่อข้อมูลเท่านั้น

มัลแวร์ตัวนี้สามารถเจาะผ่าน 2FA โดยการส่งข้อความขาเข้าไปยังเซอฟเวอร์ ทำให้อาชญากรสามารถรับข้อความ SMS จากธนาคารและลบทิ้งทันทีโดยไม่ให้เหยื่อรู้ตัว

วิธีลบมัลแวร์

เมื่อผู้ใช้พยายามจะถอนการติดตั้งมัลแวร์ จะถูกขัดขวางจาก 2FA หรือการยืนยันตัวตนสองช่องทาง อันดับแรกผู้ใช้ต้องไปแก้ไขการอนุญาต และถอนการติดตั้ง Flash Player ปลอมตัวนี้ วิธีปิดการใช้งานสิทธิของผู้ใช้ วิธีง่ายๆคือการปิดการใช้งานสิทธิของผู้ใช้ผ่าน Settings Security Flash Player Deactivate และกดโอเค

Figure-4-Deactivating-administrator-rights

ผู้ใช้สามารถถอนการติดตั้งมัลแวร์ได้โดย Settings Apps/Applications Flash Player Uninstall

การถอนออกอาจจะซับซ้อนมากขึ้นหากอุปกรณ์เครื่องนั้นได้รับคำสั่งจากเซอฟเวอร์ให้การตัดสิทธิของผู้ใช้ไม่สามารถใช้การได้ ซึ่งถ้ากรณีนี้เกิดขึ้น เมื่อผู้ใช้พยายามจะปิด มัลแวร์จะสร้างกิจกรรมทับซ้อนขึ้นมาบนหน้าจอเพื่อป้องกันไม่ให้คลิกที่ปุ่มยืนยัน

Figure_5-z2zvk

อีกทางหนึ่งที่จะแก้ไขปัญหานี้คือการเข้า Safe Mode เพราะใน Safe Mode แอปพลิเคชั่นอื่นๆที่ไม่ใช่ของระบบจะไม่ทำงาน และผู้ใช้จะสามารถปิดการใช้งานสิทธิของผู้ใช้ได้เหมือนในวิธีแรก และถอนการติดตั้งแอปพลิเคชั่น

ถึงแม้มัลแวร์ตัวนี้ยังไม่ระบาดในประเทศไทย ไม่ได้หมายความว่าพวกเราจะไม่มีความเสี่ยงที่จะพบเจอกับภัยคุกคามแบบนี้ เพราะประเทศไทยไทยอาจจะเป็นเป้าหมายต่อไปของอาชญากรเหล่านี้ก็เป็นได้ ดังนั้นพวกเราจึงอยากขอให้ทุกท่าน ตื่นตัวกับภัยคุกคามทางไซเบอร์ให้มากขึ้น อย่างน้อยก็มีแอนตี้ไวรัสไว้สักตัว อยู่อย่างปลอดภัย บนโลกไซเบอร์

%d bloggers like this: