Android Malware

โทรจันบนแอนดรอยด์ใหม่หลอกให้ผู้ใช้ดาวน์โหลดโปรแกรมอันตราย

Trojan ใหม่โจมตีระบบปฏิบัติการแอนดรอยด์ผ่านแอปพลิเคชัน Adobe Flash Player ปลอม

ผู้ใช้แอนดรอยด์เปิดเผยแอปพลิเคชันใหม่ที่ใช้หน้าเลียนแบบแอปพลิเคชั่น Adobe Flash Player และเป็นประตูให้ดาวน์โหลดซอฟต์แวร์อันตราย แอปพลิเคชันนี้สามารถตรวจจับได้ด้วยโปรแกรมของ ESET ในชื่อ Android/TrojanDownloader.Agent.JI มีความสามารถในการหลอกให้ผู้ใช้อนุญาตให้แฮกเกอร์สามารถดาวน์โหลดและเปิดใช้แอปพลิเคชันอันตราย

จากการวิเคราะห์พบว่า โทรจันตัวนี้โจมตีผู้ใช้แอนดรอยด์รวมทั้งเวอร์ชันล่าสุด โดยแพร่กระจายผ่านเว็บไซต์ผู้ใหญ่ และบนโซเชี่ยลมีเดีย ด้วยการหลอกให้ผู้ใช้อัพเดทโปรแกรม Adobe Flash Player โดยอ้างเหตุผลเพื่อความปลอดภัย พร้อมภาพประกอบที่เหมือนต้นฉบับไม่มีผิด

screen-shot-2017-02-13-at-08-49-52

วิธีการทำงาน

เมื่อผู้ใช้ทำการอัพเดทซึ่งจริงๆเป็นการติดตั้งซอฟต์แวร์ของแฮกเกอร์ จะมีหน้าต่างขึ้นมาว่า “TOO MUCH CONSUMPTION OF ENERGY!” เหมือนบอกคุณว่าโทรศัพท์ของคุณใช้แบตเตอรี่มากเกินความจำเป็น และให้คุณเปิดฟังก์ชัน “Saving Battery” เพื่อลดปริมาณการใช้แบตเตอรี่ หน้าต่างนี้จะแสดงไปจนกว่าผู้ใช้จะยอมเปิดใช้ฟังก์ชันดังกล่าว ฟังก์ชัน “Saving Battery” จะเข้าไปอยู่ในหน้าเมนู Accessibility ของ Android เมื่อเปิดเข้าไปดูจะพบว่าแอปพลิเคชันนี้สังเกตการใช้งานของคุณ และเริ่มทำงานเมื่อคุณสัมผัสหน้าจอ ทำให้เป็นการเปิดช่องทางใช้แฮกเกอร์ดำเนินการขั้นตอนต่อไปได้อย่างง่ายดาย

screen-shot-2017-02-13-at-10-17-05screen-shot-2017-02-13-at-10-17-12screen-shot-2017-02-13-at-10-17-26

หลังจากที่ “Saving Battery” เริ่มทำงานไอคอน Flash Player ก็จะถูกซ่อน และทำงานอยู่เบื้องหลังทำหน้าที่ติดต่อกับเซิร์ฟเวอร์ C&C เพื่อส่งข้อมูลเกี่ยวตัวอุปกรณ์ให้กับแฮกเกอร์ เซิร์ฟเวอร์ดังกล่าวจะตอบสนองต่อลิงก์ที่แฮกเกอร์เลือกเอาไว้ และไม่สามารถลบออกได้เพราะจะมีหน้าจอล็อคสกรีนบังไว้อยู่

screen-shot-2017-02-13-at-08-50-18-1

มัลแวร์ตัวนี้เปิดให้โหลดฟรี ติดตั้งและเปิดใข้งานโดยที่ผู้ใช้ไม่รู้ตัว จนกระทั่งหน้าจอล็อคสกรีนปรากฏและหายไป

วิธีตรวจสอบและถอนการติดตั้ง

ถ้าคุณคุ้นๆว่าเคยดาวน์โหลดโปรแกรม Flash Player มาหมาดๆ ลองเข้าไปที่เมนู Accessibility ของ Android เพื่อหา Process ที่ชื่อว่า “Saving Battery” ถ้าหากคุณไม่พบก็นับว่าเป็นโชคดี

แต่ถ้าคุณพบ สิ่งที่คุณจะได้ทำได้ก็คือการถอนการติดตั้งโดยไปที่ Setting -> Application Manager -> Flash-Player

บางกรณีตัวโทรจันจะขอให้ผู้อนุญาตการเข้าถึง ซึ่งถ้าคุณอนุญาตไปแล้วโปรแกรมจะไม่สามารถถูกถอดถอนได้นอกจาก ยกเลิกสิทธิการให้อนุญาตที่ Settings -> Security -> Flash-Player แล้วทำการถอนการติดตั้ง

หลังจากถอนการติดตั้งเรียบร้อย เพื่อให้แน่ใจว่าแฮกเกอร์จะไม่ติดตั้งโปรแกรมอื่นๆไว้บนเครื่อของคุณ เราแนะนำให้คุณดาวน์โหลดโปรแกรมรักษาความปลอดภัยกำจัดโปรแกรมที่ไม่พึงประสงค์จากเครื่องคุณออก

วิดีโอจากอุปกรณ์ที่ติดไวรัส

Author: Lukas Stefanko
Source: http://www.welivesecurity.com/2017/02/14/new-android-trojan-mimics-user-clicks-download-dangerous-malware/
Translated by: Worapon H.

%d bloggers like this: