Android Malware Top Stories

DoubleLocker: Innovative Android Ransomware

โปรแกรมเรียกค่าไถ่บนแอนดรอยด์ DoubleLocker พร้อมกับความสามารถพื้นฐานของ Banking Trojan

นักวิจัยของ ESET พบโปรแกรมเรียกค่าไถ่ตัวแรกที่ใช้ Accessibility Services ของระบบปฏิบัติการแอนดรอยด์ ก่อนจะเข้ารหัสข้อมูล และล็อคเครื่อง

ผลิตภัณฑ์ของ ESET สามารถตรวจจับได้ในชื่อ Android/DoubleLocker.A คาดว่าผู้เขียนโค้ดเป็นกลุ่มเดียวกับแฮกเกอร์ที่ผลิต Banking Trojan ที่ใช้ Accessibility Services ของระบบปฏิบัติการแอนดรอยด์ แต่ DoubleLocker ไม่ได้ความสามารถในการคัดลอกและส่งข้อมูลภายในเครื่องเหมือนกับ Banking Trojan แต่แทนที่ด้วยความสามารถในการกรรโชกเหยื่อแทน

DoubleLocker สามารถเปลี่ยน PIN code ของอุปกรณ์เพื่อไม่ให้เจ้าของเครื่องใช้เครื่องได้ และยังเข้ารหัสไฟล์ภายในเครื่อง

นักวิจัยมัลแวร์ที่พบ DoubleLocker คุณ Lukáš Štefanko ให้ความเห็นไว้ว่า “หากผสมผสาน Banking Malware กับ Ransomware อาจทำให้ DoubleLocker เป็นโปรแกรมเรียกค่าไถ่ที่สามารถเก็บข้อมูลของผู้ใช้ได้ ทั้งขโมยข้อมูลธนาคาร หรือบัญชี PayPal ก่อนที่จะล็อคเครื่องของคุณและเรียกเงินค่าไถ่ ทำให้นึกถึงตัวทดลองของ ransom-banking เมื่อเดือนพฤษภาคมที่ผ่านมา”

การแพร่กระจาย

DoubleLocker ใช้วิธีการแพร่กระจายวิธีเดียวกับ Banking Trojan ของเขาคือ ผ่านโปรแกรม Adobe Flash Player ปลอมที่ถูกนำไปปล่อยตามเว็บไซต์

ทันทีเปิดโปรแกรมขึ้นมา แอปพลิเคชั่นจะขออนุญาตให้เปิด Accessibility Service ที่ชื่อว่า “Google Play Service” และหลังจากที่ได้รับอนุญาตแล้วโปรแกรมจะใช้สิทธินั้นในการเปลี่ยนตัวเองเป็น Home Application โดยไม่แจ้งเตือนผู้ใช้

คุณ Štefanko อธิบายว่า “การเปลี่ยนตัวมันเองเป็น Home Application ทำให้มัลแวร์สามารถซ่อนตัวได้แนบเนียนยิ่งขึ้น และเมื่อไหร่ก็ตามที่ผู้ใช้กดปุ่มโฮม โปรแกรมเรียกค่าไถ่จะเริ่มทำงานและล็อคเครื่อง ต้องขอบคุณ Accessibility Service ที่ทำให้ผู้ใช้ไม่รู้ว่าปุ่มโฮมของพวกเขาเป็นตัวจุดชนวนมัลแวร์”

ล็อคทั้งอุปกรณ์และข้อมูล

เมื่อ DoubleLocker ล็อคอุปกรณ์สำเร็จ แฮกเกอร์ให้สองเหตุผลที่ผู้ใช้จะต้องจ่าย

เหตุผลแรก มัลแวร์จะเปลี่ยน PIN Code เพื่อไม่ให้ผู้ใช้สามารถใช้เครื่องได้ ด้วย PIN Code ที่ถูกตั้งให้สุ่มใหม่ทุกครั้ง ทำให้ไม่สามารถปลดล็อคได้ ถ้าหากผุ้ใช้ยอมจ่าย แฮกเกอร์จะปลดรหัสผ่านระบบรีโมตให้

เหตุผลที่สอง DoubleLocker จะล็อคไฟล์ทั้งหมดในเครื่อง ด้วยการเข้ารหัสแบบ AES encryption โดยเปลี่ยนนามสกุลไฟล์เป็น “.cryeye” ซึ่ง ณ ตอนนี้ยังไม่สามารถถอดรหัสได้

ส่วนจำนวนค่าไถ่ที่แฮกเกอร์เรียกร้องก็คือ Bitcoin จำนวนเท่ากับ 54 ดอลล่าร์สหรัฐฯ และต้องจ่ายภายใน 24 ชั่วโมง ถ้าไม่ยอมจ่ายเงินตามที่กำหนดไฟล์จะถูกเข้ารหัสและไม่ถูกลบออก

Figure1-576x1024

Figure2-576x1024

วิธีการป้องกัน

ภายในโน๊ตเรียกค่าไถ่ มีข้อความแจ้งเตือนว่าไม่ให้ถอนการติดตั้งโปรแกรมออก เพราะจะไม่ได้รับไฟล์คืนแน่นอน

คุณ Štefanko แนะนำว่า “ทางที่ดีที่จะป้องกัน DoubleLocker ก็คือการติดตั้งโปรแกรมรักษาความปลอดภัยเอาไว้บนเครื่อง”

ส่วนวิธีการเอา DoubleLocker ออกจากเครื่องก็คือ Factory Data Reset แต่สำหรับอุปกรณ์ที่ Root มาสามารถใช้ debugging mode เพื่อผ่านการรักษาความปลอดภัยได้

“DoubleLocker เป็นหนึ่งในเหตุผลที่ผู้ใช้ต้องติดตั้งโปรแกรมรักษาความปลอดภัยบนอุปกรณ์แอนดรอยด์ และสำรองข้อมูล”

Source: https://www.welivesecurity.com/2017/10/13/doublelocker-innovative-android-malware/
Translated by: Worapon H.

%d bloggers like this: