Android Banking Malware

โทรจัน BankBot ย้อนกลับมาใน Google Play พร้อมลูกเล่นใหม่

โทรจันธุรกรรม BankBot กลับมา Google Play อีกครั้งพร้อมกับเทคนิคใหม่

โทรจันธุรกรรมอันตรายที่เราพบเมื่อต้นปีนี้กลับมาใน Google Play อีกครั้ง ด้วยลูกเล่นใหม่ที่ซับซ้อนและแนบเนียนกว่าเดิม

โทรจันธุรกรรมตัวนี้รู้กันในชื่อว่า BankBot แต่เวอร์ชั่นใหม่นี้ผ่านการพัฒนาและออกมาหลายเวอร์ชั่น ทั้งที่อยู่ในและอยู่นอก Google Play สายพันธุ์ที่เรากำลังพูดนี่เป็นเวอร์ชั่นที่เราพบใน Google Play เมื่อวันที่ 4 กันยายนที่ผ่านมา ที่ได้เพิ่มความซับซ้อนของโค้ด และฟังก์ชั่นของ Payload กับกระบวนการแพร่กระจายผ่าน Accessibility Service ของ Android

จากการสำรวจพบว่าโทรจันมักใช้ Accessibility Service ของ Android เป็นเครื่องมือในการแพร่กระจาย ยกอย่าง SfyLabs และ Zscaler ที่เรายืนยันได้ว่าเป็นตัวการแพร่กระจาย BankBot บน Google Play ด้วยฟังก์ชั่น Accessibility-abusing

เจ้ามัลแวร์ธุรกรรมตัวนี้ใช้วิธีการปลอมตัวเป็นเกมส์ที่ชื่อว่า Jewels Star Classic ในขณะที่ตัวเกมส์จริงๆนั้นผลิตโดย ITREEGAMER ซึ่งไม่มีส่วนเกี่ยวข้องกับแผนการนี้แต่อย่างใด

ทางเราได้แจ้งเรื่องนี้ให้กับทีม Security ของ Google แล้ว โดยแอปพลิเคชั่นเลียนแบบของ Jewels Star Classic มียอดดาวน์โหลดอยู่ที่ 5,000 ครั้งก่อนถูกถอนออกจาก Play Store

มัลแวร์ตัวนี้ทำงานอย่างไร?

เมื่อผู้ใช้ดาวน์โหลดเกมส์ Jewels Star Classic ที่เป็นเวอร์ชั่นของ GameDevTony (ตามภาพด้านล่าง) ผู้ใช้จะได้รับเกมส์จริง แต่มีเซอร์วิสอันตรายที่ถูกตั้งเวลาไว้ให้ทำงาน

Figure1-1

20 ให้หลังจากผู้ใช้เปิดแอปพลิเคชั่นครั้งแรก ผู้ใช้จะได้รับการแจ้งเตือนให้เปิดใช้งาน “Google Service” และเมื่อผู้ใช้กดปุ่ม OK ผู้ใช้จะถูกพาไปยังหน้า Accessibility ใน Settings และจะพบ “Google Service” ที่มัลแวร์สร้างขึ้นมา

Figure2-1-576x1024

Figure3-1-576x1024

Figure4-576x1024

หากผู้ใช้เปิดเซอร์วิสนี้ขึ้นมาจะเห็น รายชื่อ App Permission: Observe your actions, Retrieve window content, Turn on Explore by Touch, Turn on enhanced web accessibility and Perform gestures

การคลิก OK นี้เท่ากับให้อนุญาตกับมัลแวร์เข้าถึงอุปกรณ์ของคุณ และเริ่มกิจกรรมอันตรายบนโทรศัพท์ของคุณได้

Figure5-1-576x1024

ในทางทฤษฎี การให้อนุญาตกับ “Google Service” ตัวใหม่ที่มัลแวร์สร้างขึ้นมา เท่ากับหยุดการทำงานของ Google Service ตัวก่อนหน้า

Figure6-1-576x1024

ต่อมามัลแวร์ก็จะใช้ Screen Cover เพื่อให้ผู้ใช้อนุญาตกิจกรรมเหล่านี้

  • ติดตั้งแอปพลิเคชั่นจากแหล่งที่ไม่รู้จัก
  • ติดตั้ง BankBot และเริ่มทำงาน BankBot
  • ให้สิทธิ administrator กับ BankBot
  • ตั้ง BankBot เป็นแอป SMS เริ่มต้น
  • ให้สิทธิ draw over บน apps อื่น

หลังขบวนการทั้งหมดนี้เสร็จสิ้น มัลแวร์จะเริ่มทำงานจริงๆของมันก็คือ ขโมยข้อมูลบัตรเครดิตของผู้ใช้ โดยในส่วนนี้จะเป็นฟังก์ชั่นที่เหมือนกับ BankBot เวอร์ชั่นอื่นๆ ที่มีรายชื่อของแอปพลิเคชั่นธุรกรรม และเปิดหน้าต่างล็อคอินปลอมขึ้นมาเพื่อให้ผู้ใช้กรอก

เมื่อผู้ใช้เปิดแอปฯ Google Play มัลแวร์ BankBot จะเปิดหน้าต่างล็อคอินขึ้นมาบัง

Figure7-1-576x1024

ถ้าหากผู้ใช้บังเอิญหรือไม่ตั้งใจกรอกข้อมูลเหล่านี้ลงไป แฮกเกอร์ก็จะได้ข้อมูลตรงนั้นไป และนอกจากนั้น BankBot ยังสามารถขัดขวางข้อความ SMS ได้อีกด้วยทำให้ two-factor authentication อย่าง OTP ไม่เป็นอุปสรรคต่อแฮกเกอร์เลย

ทำไม BankBot ถึงอันตราย?

ในแผนการนี้ แฮกเกอร์รวมเทคนิคของนักพัฒนามัลแวร์มาใช้ ทั้งการเข้าถึง Accessibility Service, ปลอมตัวเป็น Google และการดีเลย์การทำงานของมัลแวร์เพื่อหลบการตรวจสอบของ Google นอกจากนี้การถอนแอปฯเจ้าปัญหาตัวนี้ออกก็ไม่ใช่เรื่องง่ายเลย

วิธีการลบแอปพลิเคชั่นนี้ออก

ถ้าคุณเพิ่งดาวน์โหลดแอปพลิเคชั่นแปลกอะไรมา เราขอแนะนำให้ผู้ใช้ตรวจสอบตัวเองว่าไม่ได้มีมัลแวร์ตัวนี้ในเครื่อง

ไม่ได้มีเพียงแอปฯ Jewels Star Classic ที่มีมัลแวร์ แอปฯอื่นๆก็มีโอกาสที่จะมี BankBot ฝังอยู่ก็ได้ เพราะฉะนั้นเราจึงขอแนะนำขั้นตอนง่ายๆในการเช็ค:

ตามหาแอปพลิเคชั่น “Google Update” ใน Settings -> Application manager/Apps -> Google Update

เปิด Active “System update” ใน Device Administrator

Figure8-576x1024

Figure9-576x1024

ถ้าคุณพบสิ่งใดสิ่งหนึ่งตามที่เราบอกไป นั่นหมายความว่าคุณโดน BankBot เข้ามาให้เครื่องคุณแล้ว

คุณสามารถ disable สิทธิ Admin ของมัลแวร์ได้ใน Device Administrator และถอนการติดตั้ง “Google Update” และแอปฯที่มีโทรจัน

จำเอาไว้ว่ามัลแวร์จะเริ่มทำงานหลังจาก 20 นาทีแรกที่เปิดแอปฯ เพราะตัวโปรแกรมมีส่วนประกอบอื่นๆด้วย ดังนั้นการใช้โปรแกรมรักษาความปลอดภัยกำจัดออกจะปลอดภัยมากกว่า

โปรแกรมของ ESET สามารถตรวจจับ BankBot ได้ในชื่อ Android/Spy.Banker.LA

Author: LUKAS STEFANKO
Source:
https://www.welivesecurity.com/2017/09/25/banking-trojan-returns-google-play/
Translated by: Worapon H.

%d bloggers like this: