Malware

แฮกเกอร์สามารถรู้รหัสผ่านของเราแค่เพราะเปิดไฟฉาย?

แอปพลิเคชั่นไฟฉายที่กลายเป็นโทรจันขโมยข้อมูลธุรกรรมการเงินและโซเชี่ยลมีเดีย

ผู้ใช้แอนดรอยด์กำลังเผชิญกับโปรแกรมธุรกรรมอันตรายที่สามารถล็อคหน้าจอได้ โดยแปลงร่างตัวเองเป็นแอปพลิเคชั่นไฟฉายบน Google Play แต่เจ้าแอปพลิเคชั่นนี้สามารถเลือกโจมตีแอปพลิเคชั่นธุรกรรมของธนาคารได้ตามต้องการ และมีความสามารถในการจัดการฟังก์ชั่นได้อย่างไม่น่าเชื่อ

นอกจากฟังก์ชั่นในการใช้แฟลชบนโทรศัพท์เป็นไฟฉายแล้ว อีกหน้าที่หนึ่งของมันก็คือเป็นโทรจันขโมยข้อมูล โดยจะขโมยข้อมูลอะไรนั้นขึ้นอยู่กับคำสั่งผ่านเซิร์ฟเวอร์ C&C และอีกอย่างคือโทรจันตัวนี้สามารถแสดงหน้าจอเหมือนของจริงได้ กิจกรรมต่างๆของแฮกเกอร์จะถูกซ่อนเอาไว้ แม้กระทั่ง SMS ที่เข้ามาก็จะถูกส่งไปยังแฮกเกอร์ด้วย

โปรแกรมอันตรายสามารถทำงานได้บนทุกเวอร์ชั่นของแอนดรอยด์ และรับโค้ด HTML จากอุปกรณ์ที่ติดตั้งเพื่อสร้างหน้าต่างโปรแกรมปิดหน้าจอผู้ใช้

ESET สามารถตรวจจับโทรจันตัวนี้ได้ในชื่อ Trojan.Android/Charger.B อัพโหลดขึ้น Google Play เมื่อวันที่ 30 มีนาคม 2017 และมียอดดาวน์โหลดมากกว่า 5,000 ครั้ง ก่อนที่จะถูกนำออกจาก Google Play ในวันที่ 10 เมษายนหลังจากที่ทาง ESET รายงานไป

Figure-1

วิธีการทำงาน

ทันทีที่เปิดแอปพลิเคชั่น โปรแกรมจะขออนุญาตสิทธิผู้ดูแล (Administrator) สำหรับผู้ใช้แอนดรอยด์ 6.0 ขึ้นไปจะต้องให้อนุญาตด้วยตัวเอง ที่แฮกเกอร์ทำอย่างนี้เพื่อทำให้พวกเขาสามารถซ่อนไอคอน และเลือกให้แสดงเฉพาะวิตเจ็ต

ตัวการที่แท้จริงของการทำงานซ่อนอยู่ภายในไฟล์ APK ที่อยู่ใน Google Play เพื่อป้องกันการตรวจจับ และจะถูกปล่อยออกมาหลังจากที่ผู้ใช้ติดตั้งและเปิดแอปพลิเคชั่นขึ้นมา

ขั้นตอนแรกของการทำงาน โทรจันจะจดบันทึกรายละเอียดอุปกรณ์และส่งไปยังเซิร์ฟเวอร์ รวมถึงรายชื่อแอปพลิเคชั่นภายในเครื่อง บางทีอาจถ่ายรูปจากกล้องหน้าไปด้วยก็ได้เป็นโปรไฟล์

แต่เรื่องที่น่าสนใจก็คือหากทางเซิร์ฟเวอร์ได้ข้อมูลว่าอุปกรณ์เหล่านั้นอยู่ในประเทศรัสเซีย, ยูเครนหรือเบลารุส โปรแกรมจะหยุดการทำงาน ซึ่งเราสัญนิษฐานว่าอาจเป็นเพราะป้องกันการฟ้องร้องในประเทศของแฮกเกอร์หรือผู้ดำเนินโปรเจคนี้

เมื่อวิเคราะห์จากอุปกรณ์ที่ติดตั้งแอปพลิเคชั่นกับเซิร์ฟเวอร์ C&C เราพบว่ามีคำสั่งส่งโค้ด HTML ที่ตรงกัน โค้ดตัวนี้เป็นหน้าตาของ Webview ที่ใช้ทับหน้าจอของแอปพลิเคชั่นธุรกรรมหลังจากที่ผู้ใช้เปิดแอปพลิเคชั่นธุรกรรมตัวจริงขึ้นมา เพื่อหลอกให้ผู้ใช้กรอกข้อมูลของตัวเองลงไปและส่งมันไปยังเซิร์ฟเวอร์ของแฮกเกอร์

และอย่างที่บอกไปว่าแอปพลิเคชั่นนั้นถูกหมายหัวเอาไว้ด้วยโค้ด HTML ที่แตกต่างกัน จากงานวิจัยของเราพบว่าหน้าจอ Webview ปลอมดังกล่าวมีบนแอปพลิเคชั่น Commbank, NAB และ Westpac ซึ่งเป็นแอปพลิเคชั่นธุรกรรม และนอกจากนั้นยังมีแอปพลิเคชั่นอย่าง Facebook, WhatsApp, Instagram และ Google Play

Figure-2-768x2042

Figure-3

เพื่อที่จะติดต่อกับเซิร์ฟเวอร์ C&C โทรจันจะใช้ฟังก์ชัน Firebase Cloud Messages (FCM) ครั้งนี้นับเป็นครั้งแรกที่เราเห็นแฮกเกอร์ใช้ช่องทางนี้ในการติดต่อสื่อสาร

จากงานวิจัยของเราพบว่าแอปพลิเคชั่นนี้เป็นเวอร์ชั่นที่มีต้นแบบมาจาก Android/Charger ที่พบครั้งแรกโดยนักวิจัยของ Check Point เมื่อปีต้นปี 2017 ในเวอร์ชั่นต้นแบบแฮกเกอร์ใช้วิธีการล็อคเครื่องของเหยื่อแล้วเรียกค่าไถ่ เพื่อแลกกับการปลดล็อคเครื่องคืน ซึ่งตอนนี้พวกเขาเบนเข็มมาเป็นการขโมยข้อมูล

วิธีการตรวจสอบและถอนมัลแวร์ออกจากเครื่อง

ถ้าหากคุณคับคล้ายคับคลาว่าเพิ่งโหลดแอปพลิเคชั่นไฟฉายมาจาก Google Play ลองเช็คดูสักนิดว่าแอปพลิเคชั่นนั้นไม่ใช่ตัวเดียวกับที่เราพูดถึงกันอยู่ในตอนนี้

คุณสามารถหาเจ้าแอปพลิเคชั่นตัวแสบได้ที่: Settings -> Application Manager/Apps -> Flashlight Widget

Figure-4-576x1024

วิธีการถอนการติดตั้งนั้นไม่สามารถทำแบบปกติได้ เนื่องจากการขออนุญาตในตอนแรกที่ทำการติดตั้งทำให้คุณต้องยกเลิกการอนุญาตนั้นๆเสียก่อน แต่ในกรณีนี้คุณไม่สามารถได้โดยง่าย เพราะแฮกเกอร์จะสร้างหน้าจอปิดเอาไว้จนกว่าคุณจะเปิดการให้อนุญาตอีกครั้ง

เพราะฉะนั้นที่คุณสามารถทำได้คือต้องทำการถอนการติดตั้งใน Safe Mode เพื่อความสะดวกในการปฏิบัติตามทางเราจึงเตรียมวิดีโอเอาไว้ให้:

วิธีอยู่อย่างปลอดภัย

คำแนะนำง่ายที่เราบอกได้ก็คือ การป้องกันดีกว่าการแก้ไข

ถึงแม้เหตุการณ์นี้จะเกิดขึ้นกับ Google Play แต่เราก็ยังแนะนำว่าให้ดาวน์โหลดแอปพลิเคชั่นจาก Google Play หรือถ้าคุณเป็นผู้ใช้ Apple เราก็แนะนำ App Store เนื่องจากทั้งสองที่นี้มีมาตรการรักษาและคัดกรองความปลอดภัยแอปพลิเคชั่นที่จะเข้ามาใน Store ที่แน่นหนา เมื่อเทียบกับแหล่งดาวน์โหลดแอปพลิเคชั่นอื่นๆ ที่ไม่เป็นที่รู้จักนัก

ข้อมูลที่คุณต้องรู้เมื่อจะดาวน์โหลดแอปพลิเคชั่นใดๆก็ตามก็มี จำนวนครั้งในการดาวน์โหลด (ยิ่งเยอะยิ่งดี), คะแนน (ยิ่งเยอะยิ่งดี) และที่สำคัญที่สุดก็คือรีวิว เพราะส่วนของรีวิวเป็นส่วนที่ผู้ใช้จริงๆให้ข้อมูล คุณอาจคิดว่ารีวิวพวกนี้อาจจะปลอมก็ได้ แต่ทางเราเชื่อว่าทางผู้ใช้ย่อมมีกำลังในการรีวิวมากกว่าแฮกเกอร์แน่นอน

เมื่อเข้าสู่กระบวนการติดตั้ง การอนุญาตเป็นสิ่งแรกที่คุณต้องอ่านเลย และลองวิเคราะห์ดูเล่นๆว่าสิ่งที่คุณอนุญาตไปนั้นสอดคล้องกับการทำงานของแอปพลิเคชั่นหรือเปล่า ยกตัวอย่างสิทธิในการเป็นผู้ดูแล (Administrator) คงไม่จำเป็นกับแอปพลิเคชั่นไฟฉายจริงหรือเปล่าครับ?

ท้ายที่สุดหากคุณเป็นหนึ่งในขาลองแอปพลิเคชั่น หรือมีแอปพลิเคชั่นมากมายถูกติดตั้งและถอนออกจากคอมพิวเตอร์หรือโทรศัพท์ของคุณบ่อยๆ ติดตั้งโปรแกรมรักษาความปลอดภัยไว้ด้วยนะครับ เพื่อความปลอดภัยของคุณในระยะยาว

Author: LUKAS STEFANKO
Source:
https://www.welivesecurity.com/2017/04/19/turn-light-give-passwords/
Translated by: Worapon H.

%d bloggers like this: