ผู้ใช้แอนดรอยด์เปิดเผยแอปพลิเคชันใหม่ที่ใช้หน้าเลียนแบบแอปพลิเคชั่น Adobe Flash Player และเป็นประตูให้ดาวน์โหลดซอฟต์แวร์อันตราย แอปพลิเคชันนี้สามารถตรวจจับได้ด้วยโปรแกรมของ ESET ในชื่อ Android/TrojanDownloader.Agent.JI มีความสามารถในการหลอกให้ผู้ใช้อนุญาตให้แฮกเกอร์สามารถดาวน์โหลดและเปิดใช้แอปพลิเคชันอันตราย
จากการวิเคราะห์พบว่า โทรจันตัวนี้โจมตีผู้ใช้แอนดรอยด์รวมทั้งเวอร์ชันล่าสุด โดยแพร่กระจายผ่านเว็บไซต์ผู้ใหญ่ และบนโซเชี่ยลมีเดีย ด้วยการหลอกให้ผู้ใช้อัพเดทโปรแกรม Adobe Flash Player โดยอ้างเหตุผลเพื่อความปลอดภัย พร้อมภาพประกอบที่เหมือนต้นฉบับไม่มีผิด
วิธีการทำงาน
เมื่อผู้ใช้ทำการอัพเดทซึ่งจริงๆเป็นการติดตั้งซอฟต์แวร์ของแฮกเกอร์ จะมีหน้าต่างขึ้นมาว่า “TOO MUCH CONSUMPTION OF ENERGY!” เหมือนบอกคุณว่าโทรศัพท์ของคุณใช้แบตเตอรี่มากเกินความจำเป็น และให้คุณเปิดฟังก์ชัน “Saving Battery” เพื่อลดปริมาณการใช้แบตเตอรี่ หน้าต่างนี้จะแสดงไปจนกว่าผู้ใช้จะยอมเปิดใช้ฟังก์ชันดังกล่าว ฟังก์ชัน “Saving Battery” จะเข้าไปอยู่ในหน้าเมนู Accessibility ของ Android เมื่อเปิดเข้าไปดูจะพบว่าแอปพลิเคชันนี้สังเกตการใช้งานของคุณ และเริ่มทำงานเมื่อคุณสัมผัสหน้าจอ ทำให้เป็นการเปิดช่องทางใช้แฮกเกอร์ดำเนินการขั้นตอนต่อไปได้อย่างง่ายดาย
หลังจากที่ “Saving Battery” เริ่มทำงานไอคอน Flash Player ก็จะถูกซ่อน และทำงานอยู่เบื้องหลังทำหน้าที่ติดต่อกับเซิร์ฟเวอร์ C&C เพื่อส่งข้อมูลเกี่ยวตัวอุปกรณ์ให้กับแฮกเกอร์ เซิร์ฟเวอร์ดังกล่าวจะตอบสนองต่อลิงก์ที่แฮกเกอร์เลือกเอาไว้ และไม่สามารถลบออกได้เพราะจะมีหน้าจอล็อคสกรีนบังไว้อยู่
มัลแวร์ตัวนี้เปิดให้โหลดฟรี ติดตั้งและเปิดใข้งานโดยที่ผู้ใช้ไม่รู้ตัว จนกระทั่งหน้าจอล็อคสกรีนปรากฏและหายไป
วิธีตรวจสอบและถอนการติดตั้ง
ถ้าคุณคุ้นๆว่าเคยดาวน์โหลดโปรแกรม Flash Player มาหมาดๆ ลองเข้าไปที่เมนู Accessibility ของ Android เพื่อหา Process ที่ชื่อว่า “Saving Battery” ถ้าหากคุณไม่พบก็นับว่าเป็นโชคดี
แต่ถ้าคุณพบ สิ่งที่คุณจะได้ทำได้ก็คือการถอนการติดตั้งโดยไปที่ Setting -> Application Manager -> Flash-Player
บางกรณีตัวโทรจันจะขอให้ผู้อนุญาตการเข้าถึง ซึ่งถ้าคุณอนุญาตไปแล้วโปรแกรมจะไม่สามารถถูกถอดถอนได้นอกจาก ยกเลิกสิทธิการให้อนุญาตที่ Settings -> Security -> Flash-Player แล้วทำการถอนการติดตั้ง
หลังจากถอนการติดตั้งเรียบร้อย เพื่อให้แน่ใจว่าแฮกเกอร์จะไม่ติดตั้งโปรแกรมอื่นๆไว้บนเครื่อของคุณ เราแนะนำให้คุณดาวน์โหลดโปรแกรมรักษาความปลอดภัยกำจัดโปรแกรมที่ไม่พึงประสงค์จากเครื่องคุณออก
วิดีโอจากอุปกรณ์ที่ติดไวรัส
mobizen_20170202_133233_edited-x3070-1
Author: Lukas Stefanko Source: http://www.welivesecurity.com/2017/02/14/new-android-trojan-mimics-user-clicks-download-dangerous-malware/ Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
ผู้ใช้แอนดรอยด์เปิดเผยแอปพลิเคชันใหม่ที่ใช้หน้าเลียนแบบแอปพลิเคชั่น Adobe Flash Player และเป็นประตูให้ดาวน์โหลดซอฟต์แวร์อันตราย แอปพลิเคชันนี้สามารถตรวจจับได้ด้วยโปรแกรมของ ESET ในชื่อ Android/TrojanDownloader.Agent.JI มีความสามารถในการหลอกให้ผู้ใช้อนุญาตให้แฮกเกอร์สามารถดาวน์โหลดและเปิดใช้แอปพลิเคชันอันตราย
จากการวิเคราะห์พบว่า โทรจันตัวนี้โจมตีผู้ใช้แอนดรอยด์รวมทั้งเวอร์ชันล่าสุด โดยแพร่กระจายผ่านเว็บไซต์ผู้ใหญ่ และบนโซเชี่ยลมีเดีย ด้วยการหลอกให้ผู้ใช้อัพเดทโปรแกรม Adobe Flash Player โดยอ้างเหตุผลเพื่อความปลอดภัย พร้อมภาพประกอบที่เหมือนต้นฉบับไม่มีผิด
วิธีการทำงาน
เมื่อผู้ใช้ทำการอัพเดทซึ่งจริงๆเป็นการติดตั้งซอฟต์แวร์ของแฮกเกอร์ จะมีหน้าต่างขึ้นมาว่า “TOO MUCH CONSUMPTION OF ENERGY!” เหมือนบอกคุณว่าโทรศัพท์ของคุณใช้แบตเตอรี่มากเกินความจำเป็น และให้คุณเปิดฟังก์ชัน “Saving Battery” เพื่อลดปริมาณการใช้แบตเตอรี่ หน้าต่างนี้จะแสดงไปจนกว่าผู้ใช้จะยอมเปิดใช้ฟังก์ชันดังกล่าว ฟังก์ชัน “Saving Battery” จะเข้าไปอยู่ในหน้าเมนู Accessibility ของ Android เมื่อเปิดเข้าไปดูจะพบว่าแอปพลิเคชันนี้สังเกตการใช้งานของคุณ และเริ่มทำงานเมื่อคุณสัมผัสหน้าจอ ทำให้เป็นการเปิดช่องทางใช้แฮกเกอร์ดำเนินการขั้นตอนต่อไปได้อย่างง่ายดาย
หลังจากที่ “Saving Battery” เริ่มทำงานไอคอน Flash Player ก็จะถูกซ่อน และทำงานอยู่เบื้องหลังทำหน้าที่ติดต่อกับเซิร์ฟเวอร์ C&C เพื่อส่งข้อมูลเกี่ยวตัวอุปกรณ์ให้กับแฮกเกอร์ เซิร์ฟเวอร์ดังกล่าวจะตอบสนองต่อลิงก์ที่แฮกเกอร์เลือกเอาไว้ และไม่สามารถลบออกได้เพราะจะมีหน้าจอล็อคสกรีนบังไว้อยู่
มัลแวร์ตัวนี้เปิดให้โหลดฟรี ติดตั้งและเปิดใข้งานโดยที่ผู้ใช้ไม่รู้ตัว จนกระทั่งหน้าจอล็อคสกรีนปรากฏและหายไป
วิธีตรวจสอบและถอนการติดตั้ง
ถ้าคุณคุ้นๆว่าเคยดาวน์โหลดโปรแกรม Flash Player มาหมาดๆ ลองเข้าไปที่เมนู Accessibility ของ Android เพื่อหา Process ที่ชื่อว่า “Saving Battery” ถ้าหากคุณไม่พบก็นับว่าเป็นโชคดี
แต่ถ้าคุณพบ สิ่งที่คุณจะได้ทำได้ก็คือการถอนการติดตั้งโดยไปที่ Setting -> Application Manager -> Flash-Player
บางกรณีตัวโทรจันจะขอให้ผู้อนุญาตการเข้าถึง ซึ่งถ้าคุณอนุญาตไปแล้วโปรแกรมจะไม่สามารถถูกถอดถอนได้นอกจาก ยกเลิกสิทธิการให้อนุญาตที่ Settings -> Security -> Flash-Player แล้วทำการถอนการติดตั้ง
หลังจากถอนการติดตั้งเรียบร้อย เพื่อให้แน่ใจว่าแฮกเกอร์จะไม่ติดตั้งโปรแกรมอื่นๆไว้บนเครื่อของคุณ เราแนะนำให้คุณดาวน์โหลดโปรแกรมรักษาความปลอดภัยกำจัดโปรแกรมที่ไม่พึงประสงค์จากเครื่องคุณออก
วิดีโอจากอุปกรณ์ที่ติดไวรัส
Author: Lukas Stefanko
Source: http://www.welivesecurity.com/2017/02/14/new-android-trojan-mimics-user-clicks-download-dangerous-malware/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: