Android Cybersecurity Malware Ransomware

โปรแกรมเรียกค่าไถ่ Android Ransomware กลับมาแล้ว

โปรแกรมเรียกค่าไถ่บนแอนดรอยด์กลับมาอีกครั้ง พร้อมกันความสามารถในการแพร่กระจายผ่าน SMS

นักวิจัยความปลอดภัยของ ESET พบโปรแกรมเรียกค่าไถ่ (Ransomware) สายพันธุ์ใหม่บนแพลตฟอร์มแอนดรอยด์ ที่มีความสามารถในการแพร่กระจายผ่านรายชื่อในโทรศัพท์

ช่วงสองปีที่ผ่านมาโปรแกรมเรียกค่าไถ่ (Ransomware) บนแพลตฟอร์มแอนดรอยด์มีแนวโน้มลดลง แต่ล่าสุดนักวิจัยของ ESET พบสายพันธุ์ใหม่ ที่โปรแกรมของ ESET สามารถตรวจจับได้ในชื่อ Android/Filecoder.C ซึ่งแพร่กระจายไปในหลายกลุ่มคอมมิวนิตี้ใต้ดิน ตัวกลางที่ใช้ในการแพร่กระจายก็คือรายชื่อผู้ติดต่อ โดยใช้ SMS ที่มีลิงก์อันตราย ในตอนนี้การโจมตีนั้นยังคงอยู่ในวงแคบอยู่ แต่หากแฮกเกอร์สามารถแก้ไขจุดบอดนี้ได้ Android/Filecoder.C ก็อาจกลายเป็นภัยคุกคามร้ายแรงได้ไม่ยาก

Android/Filecoder.C เริ่มทำงานมาตั้งแต่ 12 กรกฎาคม 2019 เป็นอย่างน้อย พวกเขาปล่อยลิงก์อันตรายผ่านโพสต์ในฟอรั่มของ Reddit และ “XDA Developers” ซึ่งทางเราแจ้งไปยังสองเว็บไซต์นี้แล้ว ทาง XDA Developers เอาโพสต์ออกอย่างรวดเร็ว แต่ ณ เวลาที่เขียนบทความนี้ โพสต์บน Reddit ยังคงอยู่

ความน่ากลัวของ Android/Filecoder.C คือการแพร่กระจายผ่าน SMS ที่ถูกส่งให้กับทุกคนที่อยู่ในรายชื่อผู้ติดต่อ ซึ่งหากผู้ใช้คลิกลิงก์และทำตามขั้นตอนและติดตั้งแอปพลิเคชั่น โปรแกรมเรียกค่าไถ่จะเข้ารหัส(ล็อค)ไฟล์แทบทั้งหมดในเครื่องและส่งข้อความเรียกค่าไถ่ แต่ระบบเข้ารหัสยังคงมีข้อบกพร่องอยู่และสามารถแก้ไขได้

ผู้ใช้ ESET Mobile Security จะได้รับข้อความแจ้งเตือนลิงก์อันตราย รวมถึงยับยั้งการทำงานของไฟล์ที่ดาวน์โหลดมา

การแพร่กระจาย

แผนการที่เราค้นพบใช้สองโดเมนที่เก็บไฟล์อันตรายเอาไว้ (รายละเอียดโดเมนอยู่ในรายชื่อ IoCs ด้านล่าง) ที่ควบคุมโดยแฮกเกอร์ และหลอกล่อให้คนเข้ามาโดยโพสต์หรือคอมเม้นต์ตามภาพด้านล่าง

หัวข้อส่วนมากจะเกี่ยวกับสื่อลามก และมีเทคนิคการเชิญชวนที่หลากหลาย ทั้งลิงก์และภาพ QR Code ที่พาไปยังไฟล์อันตราย

การแพร่กระจายต่อเนื่อง

อย่างที่กล่าวไปว่า Android/Firecoder.C มีความสามารถในการแพร่กระจายต่อเนื่องด้วยการส่งข้อความ SMS ผ่านฐานข้อมูลรายชื่อผู้ติดต่อในเครื่องของเป้าหมาย

ข้อความที่ถูกส่งออกไปจะมีลิงก์ไปยังตัวโปรแกรมเรียกค่าไถ่ เพื่อขยายขอบเขตการแพร่กระจาย ซึ่งแฮกเกอร์ได้เตรียมการรับรองภาษาของข้อความไว้ภถึง 42 ภาษา ให้เข้ากับการตั้งค่าการใช้งานของผู้ใช้ รวมถึงใช้ชื่อจากข้อมูลรายชื่อที่เอามาด้วย

กระบวนการทำงาน

หลังจากติดตั้งแอปพลิเคชั่นแล้ว โปรแกรมจะเชื่อมต่อกับแฮกเกอร์ผ่านเซิร์ฟเวอร์ C&C จากนั้นจะส่งข้อความ (อย่างที่เขียนในหัวข้อการแพร่กระจายต่อเนื่อง) ก่อนที่เข้ารหัส(ล็อค)ไฟล์ทั้งหมดที่เข้าถึงได้ และส่งข้อความเรียกค่าไถ่

จากข้อความที่บอกว่าข้อมูลของคุณจะหายไปภายใน 72 ชั่วโมงนั้นไม่ได้เป็นความจริง เพราะจากที่ตรวจสอบยังไม่พบว่ากระบวนการลบไฟล์ภายใน 72 มีอยู่จริง

จำนวนเงินค่าไถ่ที่แฮกเกอร์เรียกร้องจะเป็นเงิน Bitcoin ที่มีมูลค่าอยู่ระหว่าง 94-188 เหรียญสหรัฐฯ หรือประมาณ 3,000 – 6,000 บาท

ไฟล์ที่ถูกเข้ารหัสจะถูกเปลี่ยนนามสกุลเป็น .seven

การถอดรหัส

โปรแกรมเรียกค่าไถ่ตัวนี้เราสามารถค้นหาโค้ดถอดรหัสได้ผ่านเว็บไซต์ในภาพด้านล่าง

ซึ่งผู้ใช้เพียงต้องนำ UserID ที่อยู่ในรายละเอียดการเรียกค่าไถ่

วิธีการหลีกเลี่ยง

  • อัพเดตแอปพลิเคชั่นและระบบปฏิบัติการของอุปกรณ์ หรือตั้งเป็นอัพเดตอัตโนมัติ ถ้าเป็นไปได้
  • พยายามเลือกให้ App Store ที่น่าเชื่อถือได้อย่าง Google Play หรือ Amazon และหลีกเลี่ยงการดาวน์โหลดแอปพลิเคชั่นจากแหล่งที่มาที่ไม่รู้จัก
  • ก่อนติดตั้งแอปพลิเคชั่นให้เช็คคะแนนและรีวิว เพราะความคิดเห็นเชิงลบมักมาจากผู้ใช้จริง และความคิดเห็นเชิงบวกอาจเป็นการสร้างขึ้นมา
  • อ่านคำขออนุญาต (App Permission) ในขณะติดตั้ง และดูความสมเหตุสมผลของฟังก์ชั่นที่ใช้และแอปพลิเคชั่น
  • ติดตั้งโปรแกรมรักษาความปลอดภัย

Indicators of Compromise (IoCs)

Hash ESET detection name
B502874681A709E48F3D1DDFA6AE398499F4BD23 Android/Filecoder.C
D5EF600AA1C01FA200ED46140C8308637F09DFCD Android/Filecoder.C
B502874681A709E48F3D1DDFA6AE398499F4BD23 Android/Filecoder.C
F31C67CCC0D1867DB1FBC43762FCF83746A408C2 Android/Filecoder.C
Bitcoin address
16KQjht4ePZxxGPr3es24VQyMYgR9UEkFy
Servers
http://rich7%5B.%5Dxyz
http://wevx%5B.%5Dxyz
https://pastebin%5B.%5Dcom/raw/LQwGQ0RQ
Contact e-mail address
h3athledger@yandex[.]ru
Affected Android versions
Android 5.1 and above

Author: Lukas Stefanko
Source:
https://www.welivesecurity.com/2019/07/29/android-ransomware-back/
Translated by: Worapon H.

%d bloggers like this: