Android Banking Malware

Source Code ของมัลแวร์อดีตบ็อตเน็ตขโมยข้อมูล

Source Code ของที่แฮกเกอร์ใช้เพื่อผลิตแอปพลิเคชั่นปลอม ขโมยข้อมูลผู้ใช้ธุรกรรมการเงินออนไลน์

แอปพลิเคชั่นอันตรายบนแอนดรอยด์บน Google Play ที่มีความสามารถขโมยข้อมูลธุรกรรมของผู้ใช้งาน ที่ ESET ตรวจจับได้ในชื่อ Trojan.Android/Spy.Banker.HU มัลแวร์ตัวนี้แพร่กระจายผ่าน Google Play ในหน้าตาของแอปพลิเคชั่นตรวจสอบสภาพอากาศ Good Weather โทรจันตัวนี้มีเป้าหมายเป็นแอปพลิเคชั่นทำธุรกรรมสัญชาติตุรกี เพื่อหวังเอาข้อมูลชื่อผู้ใช้ และรหัสผ่าน นอกจากนี้ยังสามารถดักจับข้อความ และล็อคอุปกรณ์ผ่านระบบรีโมตได้อีกด้วย

เมื่อวันที่ 19 กุมภาพันธ์ที่ผ่านมา ทาง ESET พบมัลแวร์ในลักษณะเดียวกันนี้บน Google Play แต่เปลี่ยนหน้าตาแอปพลิเคชั่นเป็น World Weather ซึ่ง ESET ตรวจจับได้ในชื่อ Trojan.Android/Spy.Banker.HW ซึ่งเปิดให้ดาวน์โหลดบน Google Play ตั้งแต่วันที่ 14 กุมภาพันธ์ และถูกถอนออกจาก Google Play ในวันที่ 20 กุมภาพันธ์

ความเกี่ยวข้อง

อีกหนึ่งข้อค้นพบที่น่าสนใจก็คือ โปรแกรมอันตรายทั้งสองอันนี้ถูกเขียนโดยโค้ดฟรี ที่แจกบนโลกออนไลน์เปรียบเสมือน Template เอกสารแต่มีความสามารถในการเชื่อมต่อกับเซิร์ฟเวอร์ C&C ซึ่งโค้ดนี้เป็นของรัสเซียและถูกเขียนขึ้นมาตั้วแต่วันที่ 19 ธันวาคม 2016

1a-768x6141b-768x158

จนการตรวจสอบนำเราไปพบกับ Dr.Web นักวิเคราะห์ที่เป็นผู้ตรวจสอบเวอร์ชั่นก่อนหน้านี้ของมัลแวร์ธุรกรรมชื่อว่า Android/Spy.Banker.HH

ถึงแม้มัลแวร์ตัวนี้ไม่ได้ใช้ Google Play เป็นช่องทางการแพร่กระจาย แต่ก็มีชื่อเดียวกันกับมัลแวร์ตัวปัจจุบัน และมีความสามารถในการเชื่อมต่อกับเซิร์ฟเวอร์ C&C และเมื่อดูที่หน้าต่างควบคุมเราก็สามารถรวบรวมข้อมูลของมัลแวร์ทั้งหมด

2-3-768x492

กราฟด้านล่างนี้จะเป็นผู้ใช้ที่ได้รับผลกระทบจากมัลแวร์ ข้อมูลนี้ได้มาจากบ็อตเน็ตใน C&C เซิร์ฟเวอร์

Victims-by-country

Victims-by-Android-version

Victims-by-malware-version

น่าสนใจที่ในเซิร์ฟเวอร์ของ C&C สามารถเข้าถึงใครก็ได้ที่มี URL โดยไม่ต้องใช้ชื่อผู้ใช้และรหัสผ่าน

Timeline_final_update-768x269

มัลแวร์ทำงานอย่างไร?

เวอร์ชั่นล่าสุดของมัลแวร์ตัวนี้ใช้ความสามารถเดียวกับตัวต้นแบบ ด้วยการสร้างแอปพลิเคชั่นเลียนแบบขึ้นมาและทำงานอยู่เบื้องหลัง Trojan.Android/Spybanker.HW สามารถล็อคและปลดล็อคหน้าจอได้ด้วยการตั้งค่าบนหน้า Lock Screen และยังสามารถดักจับข้อความที่ส่งไปมาได้อีกด้วย

ความแตกต่างของมัลแวร์ทั้งสองตัวนี้ก็คือเป้าหมายที่มากขึ้น ณ ตอนนี้มัลแวร์มีเป้าหมายเป็นผู้ใช้ในประเทศอังกฤษ, ออสเตรเลีย, เยอรมนี และตุรกี ด้วยเทคนิคที่แตกต่างกันไป

4a

4b

5-1-576x1024

วิธีตรวจสอบอุปกรณ์ว่าติดไวรัสตัวนี้หรือไม่?

ถ้าหากคุณเพิ่งติดตั้งแอปพลิเคชั่นพยากรณ์อากาศมาสดๆร้อนๆ ลองตรวจสอบดูว่าคุณไม่ได้ติดตั้งแอปพลิเคชั่นผิดตัว

ผู้ใช้สามารถเข้าไปตรวจสอบได้ที่ Settings -> Application Manager ถ้าหากคุณพบไอคอนลักษณะเดียวกับรูปภาพด้านล่าง และพบ “System update” ในส่วนของ Settings -> Security -> Device administrator (ในรูปถัดไป) ก็แสดงว่าคุณติดตั้งแอปพลิเคชั่นผิดตัวไปแล้ว

มี 2 วิธีในการกำจัดมัลแวร์ตัวนี้ออกจากอุปกรณ์ของคุณคือ:

  • ใช้โปรแกรมรักษาความปลอดภัย
  • ถอนการติดตั้งมัลแวร์ออกด้วยตัวเอง

วิธีถอนการติดตั้งด้วยตัวเองสามารถทำได้โดยการยกเลิกการให้อนุญาตกับแอปพลิเคชั่นในหัวข้อ Settings-> Security -> System update แล้วนำเครื่องหมายถูกออก หลังจากนั้นกลับไปที่ Settings -> Application Manager -> Weather เพื่อสั่งถอนการติดตั้งแอปพลิเคชั่น

วิธีอยู่อย่างปลอดภัย

เมื่อโค้ดที่เปิดให้ใช้ฟรีทำให้แฮกเกอร์นำไปผลิตมัลแร์ขโมยข้อมูลธุรกรรมผ่านแอปพลิเคชั่นพยากรณ์ได้แล้ว ก็อาจจะมีแฮกเกอร์รายอื่นๆที่กำลังผลิตโปรแกรมอันตรายขึ้นมาอีกในอนาคต

ทาง Blog ESET จึงขอนำเสนอวิธีการป้องกันมัลแวร์ให้กับโทรศัพท์อย่างถูกต้อง

ไม่ดาวน์โหลดแอปพลิเคชั่นจากแหล่งที่ไม่น่าเชื่อถือ เพราะ Google Play ที่มีทีมงานรักษาความปลอดภัยที่เข้มงวดยังมีแอปพลิเคชั่นปลอมหลุดรอดออกมาให้เห็นกัน และต้องตรวจสอบให้ละเอียดว่าแอปพลิเคชั่นเหล่านั้นปลอดภัยหรือไม่

เมื่อดาวน์โหลดแอปพลิเคชั่นต้องอ่านหัวข้อการอนุญาต (Permission) ทุกครั้ง เนื่องจากเราจำเป็นต้องทราบว่าแอปพลิเคชั่นจะต้องการเข้าถึงส่วนไหนของอุปกรณ์เราบ้างเพื่อทำงาน และมีความจำเป็นหรือไม่

และท้ายที่สุดก็คือติดตั้งโปรแกรมรักษาความปลอดภัยบนอุปกรณ์ของคุณ

แอปพลิเคชั่นที่ได้รับผลกระทบ

Android/Spy.Banker.HH and Android/Spy.Banker.HU:

com.garanti.cepsubesi
com.garanti.cepbank
com.pozitron.iscep
com.softtech.isbankasi
com.teb
com.akbank.android.apps.akbank_direkt
com.akbank.softotp
com.akbank.android.apps.akbank_direkt_tablet
com.ykb.androidtablet
com.ykb.android.mobilonay
com.finansbank.mobile.cepsube
finansbank.enpara
com.tmobtech.halkbank
biz.mobinex.android.apps.cep_sifrematik
com.vakifbank.mobile
com.ingbanktr.ingmobil
com.tmob.denizbank
tr.com.sekerbilisim.mbank
com.ziraat.ziraatmobil
com.intertech.mobilemoneytransfer.activity
com.kuveytturk.mobil
com.magiclick.odeabank

Android/Spy.Banker.HW:

com.garanti.cepsubesi
com.garanti.cepbank
com.pozitron.iscep
com.softtech.isbankasi
com.teb
com.akbank.android.apps.akbank_direkt
com.akbank.softotp
com.akbank.android.apps.akbank_direkt_tablet
com.ykb.android
com.ykb.androidtablet
com.ykb.android.mobilonay
com.finansbank.mobile.cepsube
finansbank.enpara
com.tmobtech.halkbank
biz.mobinex.android.apps.cep_sifrematik
com.vakifbank.mobile
com.ingbanktr.ingmobil
com.tmob.denizbank
tr.com.sekerbilisim.mbank
com.ziraat.ziraatmobil
com.intertech.mobilemoneytransfer.activity
com.kuveytturk.mobil
com.magiclick.odeabank
com.isis_papyrus.raiffeisen_pay_eyewdg
at.spardat.netbanking
at.bawag.mbanking
at.volksbank.volksbankmobile
com.bankaustria.android.olb
at.easybank.mbanking
com.starfinanz.smob.android.sfinanzstatus
com.starfinanz.smob.android.sbanking
de.fiducia.smartphone.android.banking.vr
com.db.mm.deutschebank
de.postbank.finanzassistent
de.commerzbanking.mobil
com.ing.diba.mbbr2
de.ing_diba.kontostand
de.dkb.portalapp
com.starfinanz.mobile.android.dkbpushtan
de.consorsbank
de.comdirect.android
mobile.santander.de
de.adesso.mobile.android.gad
com.grppl.android.shell.BOS
uk.co.bankofscotland.businessbank
com.barclays.android.barclaysmobilebanking
com.barclays.bca
com.ie.capitalone.uk
com.monitise.client.android.clydesdale
com.monitise.coop
uk.co.northernbank.android.tribank
com.firstdirect.bankingonthego
com.grppl.android.shell.halifax
com.htsu.hsbcpersonalbanking
com.hsbc.hsbcukcmb
com.grppl.android.shell.CMBlloydsTSB73
com.lloydsbank.businessmobile
uk.co.metrobankonline.personal.mobile
co.uk.Nationwide.Mobile
com.rbs.mobile.android.natwest
com.rbs.mobile.android.natwestbandc
com.rbs.mobile.android.rbsm
com.rbs.mobile.android.rbsbandc
uk.co.santander.santanderUK
uk.co.santander.businessUK.bb
com.tescobank.mobile
uk.co.tsb.mobilebank
com.rbs.mobile.android.ubn
com.monitise.client.android.yorkshire

Author: Lukas Stefanko
Source: http://www.welivesecurity.com/2017/02/23/released-android-malware-source-code-used-run-banking-botnet/
Translated by: Worapon H.

%d bloggers like this: