Android Malware

HeroRAT มัลแวร์ Open Source สายพันธุ์ใหม่แฝงตัวอยู่ในแอปพลิเคชั่นปลอม

มัลแวร์ที่ปล่อยต้นแบบฟรีให้แฮกเกอร์สามารถพัฒนาและแพร่กระจายได้อย่างอิสระ บนแพลตฟอร์มแอนดรอยด์

นักวิจัยของ ESET พบมัลแวร์สายพันธุ์ใหม่ของ Android RATs (Remote Administration Tools) โจมตี C&C และ Data Exfiltration ของโปรโตคอล Telegram

จากการตรวจสอบขั้นแรกพบว่ากิจกรรมของ IRRAT และ TeleRAT มีจำนวนเพิ่มขึ้น แล้วพบมัลแวร์สายพันธุ์ใหม่ที่เริ่มแพร่กระจายในช่วงเดือนสิงหาคม 2017 และในเดือนมีนาคม 2018 โค้ดของมัลแวร์ถูกปล่อยให้ดาวน์โหลดฟรีๆ ในช่องทางของพวกเขา ทำให้มีสายพันธุ์ของมัลแวร์ชนิดนี้เป็นร้อยๆเพิ่มขึ้นมา

แต่มีหนึ่งในสายพันธุ์ที่แตกต่างจากที่เหลือและเป็นตัวเดียวที่จำหน่าย มัลแวร์ตัวนี้มีชื่อว่า HeroRat

การทำงาน

แฮกเกอร์จะหลอกเหยื่อให้ดาวน์โหลด RAT โดยการใช้แอปพลิเคชั่นปลอมที่ปล่อยอยู่ตามแหล่งดาวน์โหลดที่ไม่เป็น Official มีทั้ง Social Media และส่งข้อความ ก่อนหน้านี้เราได้เห็นแอปพลิเคชั่นในอิหร่าน ที่โฆษณาว่าแถมฟรีบิทคอยน์ และอินเตอร์เน็ตฟรี หรือแม้กระทั่งการเพิ่มผู้ติดตามบนโซเชี่ยลมีเดีย

Figure1-1

มัลแวร์ตัวนี้อยู่เวอร์ชั่นของ Android แต่อย่างไรก็ตามผู้ใช้ที่บังเอิญติดตั้งยังไม่ติดไวรัส หากยังไม่อนุญาตให้เงื่อนไขที่แอปพลิเคชั่นขอ (App Permission)

Figure2-1-768x1365

หลังจากที่มัลแวร์ติดตั้งและทำงานบนอุปกรณ์เรียบร้อยแล้ว จะมีการแจ้งเตือนปรากฏขึ้นมา เพื่อบอกว่าแอปพลิเคชั่นไม่สามารถใช้งานได้และให้ผู้ใช้ถอนการติดตั้งแอปพลิเคชั่นออก และหลังจากถอนการติดตั้งไอคอนของแอปพลิเคชั่นก็จะหายไป แต่ในสำหรับแฮกเกอร์พวกเขาบรรลุเป้าหมายแล้ว

Figure3-1-768x614

โดยแฮกเกอร์ใช้ฟังก์ชั่นบอทของ Telegram เพื่อควบคุมอุปกรณ์ มัลแวร์ตัวนี้มีความสามารถในการสอดแนมที่หลากหลาย ทั้งขัดขวางข้อความ ส่งข้อความ โทรออก บันทึกภาพหน้าจอ เก็บข้อมูลตำแหน่งอุปกรณ์ และตั้งค่าอุปกรณ์

ฟังก์ชั่นของ HeroRat ที่ขายอยู่ใน “Bundles” มี 3 ตัว — Bronze, Silver และ Gold ในราคา 25, 50 และ 100 เหรียญสหรัฐฯ

Figure5-1

Figure6-768x326

วิธีอยู่อย่างปลอดภัย

ด้วยสาเหตุที่โค้ดของมัลแวร์ตัวนี้เปิดให้ดาวน์โหลดฟรี ทำให้นักพัฒนาโค้ดอันตรายทั้งหลายสามารถพัฒนาสายพันธุ์ใหม่ๆ และแพร่กระจายที่ไหนก็ได้ อีกทั้งแพร่กระจายได้หลากหลาย ทั้งแอปพลิเคชั่นปลอม โฆษณาหลอกลวง แอปพลิเคชั่นที่ถูกดัดแปลงโดยแฮกเกอร์

เราขอแนะนำให้ผู้ใช้แอนดรอยด์ดาวน์โหลดและติดตั้งแอปพลิเคชั่นจากแหล่งที่เชื่อถือได้หรือแหล่งที่เป็น Official อย่าง Google Play หรือ Amazon และถ้าเป็นไปได้ให้อ่านรีวิวด้วย

หากว่าคุณสงสัยว่าตัวเองจะโดนมัลแวร์ตัวนี้เล่นงานหรือไม่ สามารถใช้โปรแกรมรักษาความปลอดภัยเพื่อสแกนค้นหา อย่างที่ ESET สามารถตรวจจับมัลแวร์ตัวนี้ได้ในชื่อ Android/Spy.Agent.AMS and Android/Agent.AQO

Author: Lukas Stefanko
Source:
https://www.welivesecurity.com/2018/06/18/new-telegram-abusing-android-rat/
Translated by: Worapon H.

%d bloggers like this: