Android Malware Ransomware Top Stories

โปรแกรมเรียกค่าไถ่บนแพลตฟอร์มแอนดรอยด์ DoubleLocker

บทสัมภาษณ์คุณ Lukáš Štefanko ผู้ค้นพบ DoubleLocker โปรแกรมเรียกค่าไถ่บนแอนดรอยด์

อาชญากรไซเบอร์ได้พัฒนาโปรแกรมเรียกค่าไถ่บนแพลตฟอร์มแอนดรอยด์ โดยใช้ลูกเล่นเดียวจากโทรจันธุรกรรม ที่ใช้ประโยชน์จาก Accessibility Services ของ Android

นักวิจัยของ ESET คุณ Lukáš Štefanko ผู้ค้นพบ DoubleLocker บอกว่ามัลแวร์ตัวนี้มีเครื่องมือ 2 ชิ้นที่ใช้เพื่อเรียกร้องเงินจากเหยื่อ ซึ่งไม่เคยพบว่าก่อนบนระบบของแอนดรอยด์

เรามีบทสัมภาษณ์กับคุณ Lukáš เกี่ยวกับรายละเอียดของมัลแวร์ตัวใหม่นี้ และความคิดเห็นของเขาเกี่ยวกับโปรแกรมเรียกค่าไถ่บนแพลตฟอร์มแอนดรอยด์

DoubleLocker สามารถนับเป็นนวัตกรรมใหม่ในวงการมัลแวร์ได้หรือไม่?

DoubleLocker ถือเป็นโปรแกรมเรียกค่าไถ่บนแอนดรอยด์ตัวแรกที่สามารถ ล็อคไฟล์ภายในเครื่องและล็อคตัวอุปกรณ์ด้วยการเปลี่ยน PIN Code ได้ และยังเป็นตัวแรกที่แพร่กระจายผ่าน Accessiblity Service ของแอนดรอยด์ด้วย

โอเค, แล้วในทางปฏิบัติมันเป็นอย่างไร?

จากตัวอย่างที่หามาได้เราพบบัคบ้าง แต่ก็นับว่าตัวโปรแกรมสามารถทำงานได้ตามที่แฮกเกอร์ตั้งใจเอาไว้ กระบวนการแทรกซึมนับว่าทำงานได้ดี และคิดว่าที่เป็นมัลแวร์ที่ร้ายกาจตัวหนึ่ง

อีกสิ่งสำคัญก็คือมัลแวร์ตัวนี้เกิดมาจากมัลแวร์ธุรกรรม แม้ว่าแฮกเกอร์จะถอนความสามารถในการขโมยข้อมูลออกไป แต่วันหนึ่งเราอาจจะต้องเจอกับมัลแวร์ที่สามารถขโมยข้อมูลธนาคารของคุณ และสามารถล็อคอุปกรณ์เพื่อเรียกเงินค่าไถ่ก็เป็นได้

ฟังดูเหมือนฝันร้ายเลยนะครับ ผมหวังว่าจะไม่ได้เห็นมันในเร็วๆนี้

ข่าวร้ายก็คือเมื่อเดือนพฤษภาคม 2017 ที่ผ่านมา เราพบตัวอย่างของมัลแวร์ธุรกรรมที่สามารถเข้ารหัสไฟล์ และเรียกค่าไถ่ได้แล้ว ถึงแม้จะเป็นรุ่นทดลอง แต่เท่านี้ก็ทำให้เราสรุปได้ว่ามีมิจฉาชีพที่กำลังสร้างมันขึ้นมาจริงๆ

คุณพูดถึง Accessibility Services บน Android ที่เป็นสาเหตุของการแพร่กระจาย?

Accessibility Service เป็นฟีเจอร์ของแอนดรอยด์ที่สร้างขึ้นเพื่อช่วยให้ผู้ใช้ที่พิการสามารถใช้งานได้ง่ายขึ้น แต่นั่นก็เป็นที่มาของความอันตรายเช่นเดียวกัน อย่างการอนุญาตให้แอปพลิเคชั่นคลิกปุ่มในช่องว่างสำหรับพิมพ์ และเมนู ซึ่งแฮกเกอร์สามารถนำไปใช้ประโยชน์ได้

ซึ่งเราอาจจะสรุปสั้นๆได้ว่า: การใช้งาน Accessibility Services นั้นเหมือนอีกด้านของดาบสองคมที่อาจทำให้อุปกรณ์ของผู้ใช้ถูกโจมตี ทำให้ DoubleLocker นั้นอันตรายแม้ไม่สามารถขโมยข้อมูลจากผู้ใช้ได้

ถ้าเกิดแฮกเกอร์นำทั้งสองฟังก์ชั่นมารวมกัน มัลแวร์ตัวใหม่ที่เราตั้งชื่อให้ว่า Ransom-banker นี่อาจเป็นฝันร้าย

ผมก็คิดอย่างนั้น, แล้วคุณจะเรียกให้ ransom-bankers เป็นมัลแวร์ชนิดใหม่ ที่อันตรายกว่าโปรแกรมเรียกค่าไถ่ และมัลแวร์ธุรกรรมทั่วไปหรือไม่ แล้วเหตุผลอะไรที่แฮกเกอร์เลือกใช้วิธีนี้?

นี่เป็นคำถามที่ดี: อุปกรณ์ของคุณเป็นส่วนหนึ่งของบอทเน็ต เพราะฉะนั้นคุณจึงมีโอกาสที่จะเผชิญกับมัลแวร์ ไม่ว่าอย่างไรก็ตามแฮกเอร์ที่ควบคุมบอทเน็ตมักใช้บอทเน็ตเพื่อสร้างโฆษณาปลอม อย่างการหลอกให้คลิก ซึ่งไม่ได้รุนแรงพอที่จะปั่นป่วนรายรับของเหยื่อได้ แต่การแพร่กระจาย PIN Locker บนบอทเน็ตจะสร้างความเดือดร้อนให้ผู้ใช้ได้มากกว่า

Source: https://www.welivesecurity.com/2017/10/16/doublelocker-android-malware-explained/
Translated by: Worapon H.

%d bloggers like this: