นักวิจัยความปลอดภัยของ ESET พบโปรแกรมเรียกค่าไถ่ (Ransomware) สายพันธุ์ใหม่บนแพลตฟอร์มแอนดรอยด์ ที่มีความสามารถในการแพร่กระจายผ่านรายชื่อในโทรศัพท์
ช่วงสองปีที่ผ่านมาโปรแกรมเรียกค่าไถ่ (Ransomware) บนแพลตฟอร์มแอนดรอยด์มีแนวโน้มลดลง แต่ล่าสุดนักวิจัยของ ESET พบสายพันธุ์ใหม่ ที่โปรแกรมของ ESET สามารถตรวจจับได้ในชื่อ Android/Filecoder.C ซึ่งแพร่กระจายไปในหลายกลุ่มคอมมิวนิตี้ใต้ดิน ตัวกลางที่ใช้ในการแพร่กระจายก็คือรายชื่อผู้ติดต่อ โดยใช้ SMS ที่มีลิงก์อันตราย ในตอนนี้การโจมตีนั้นยังคงอยู่ในวงแคบอยู่ แต่หากแฮกเกอร์สามารถแก้ไขจุดบอดนี้ได้ Android/Filecoder.C ก็อาจกลายเป็นภัยคุกคามร้ายแรงได้ไม่ยาก
Android/Filecoder.C เริ่มทำงานมาตั้งแต่ 12 กรกฎาคม 2019 เป็นอย่างน้อย พวกเขาปล่อยลิงก์อันตรายผ่านโพสต์ในฟอรั่มของ Reddit และ “XDA Developers” ซึ่งทางเราแจ้งไปยังสองเว็บไซต์นี้แล้ว ทาง XDA Developers เอาโพสต์ออกอย่างรวดเร็ว แต่ ณ เวลาที่เขียนบทความนี้ โพสต์บน Reddit ยังคงอยู่
ความน่ากลัวของ Android/Filecoder.C คือการแพร่กระจายผ่าน SMS ที่ถูกส่งให้กับทุกคนที่อยู่ในรายชื่อผู้ติดต่อ ซึ่งหากผู้ใช้คลิกลิงก์และทำตามขั้นตอนและติดตั้งแอปพลิเคชั่น โปรแกรมเรียกค่าไถ่จะเข้ารหัส(ล็อค)ไฟล์แทบทั้งหมดในเครื่องและส่งข้อความเรียกค่าไถ่ แต่ระบบเข้ารหัสยังคงมีข้อบกพร่องอยู่และสามารถแก้ไขได้
ผู้ใช้ ESET Mobile Security จะได้รับข้อความแจ้งเตือนลิงก์อันตราย รวมถึงยับยั้งการทำงานของไฟล์ที่ดาวน์โหลดมา
การแพร่กระจาย
แผนการที่เราค้นพบใช้สองโดเมนที่เก็บไฟล์อันตรายเอาไว้ (รายละเอียดโดเมนอยู่ในรายชื่อ IoCs ด้านล่าง) ที่ควบคุมโดยแฮกเกอร์ และหลอกล่อให้คนเข้ามาโดยโพสต์หรือคอมเม้นต์ตามภาพด้านล่าง
หัวข้อส่วนมากจะเกี่ยวกับสื่อลามก และมีเทคนิคการเชิญชวนที่หลากหลาย ทั้งลิงก์และภาพ QR Code ที่พาไปยังไฟล์อันตราย
การแพร่กระจายต่อเนื่อง
อย่างที่กล่าวไปว่า Android/Firecoder.C มีความสามารถในการแพร่กระจายต่อเนื่องด้วยการส่งข้อความ SMS ผ่านฐานข้อมูลรายชื่อผู้ติดต่อในเครื่องของเป้าหมาย
ข้อความที่ถูกส่งออกไปจะมีลิงก์ไปยังตัวโปรแกรมเรียกค่าไถ่ เพื่อขยายขอบเขตการแพร่กระจาย ซึ่งแฮกเกอร์ได้เตรียมการรับรองภาษาของข้อความไว้ภถึง 42 ภาษา ให้เข้ากับการตั้งค่าการใช้งานของผู้ใช้ รวมถึงใช้ชื่อจากข้อมูลรายชื่อที่เอามาด้วย
กระบวนการทำงาน
หลังจากติดตั้งแอปพลิเคชั่นแล้ว โปรแกรมจะเชื่อมต่อกับแฮกเกอร์ผ่านเซิร์ฟเวอร์ C&C จากนั้นจะส่งข้อความ (อย่างที่เขียนในหัวข้อการแพร่กระจายต่อเนื่อง) ก่อนที่เข้ารหัส(ล็อค)ไฟล์ทั้งหมดที่เข้าถึงได้ และส่งข้อความเรียกค่าไถ่
จากข้อความที่บอกว่าข้อมูลของคุณจะหายไปภายใน 72 ชั่วโมงนั้นไม่ได้เป็นความจริง เพราะจากที่ตรวจสอบยังไม่พบว่ากระบวนการลบไฟล์ภายใน 72 มีอยู่จริง
จำนวนเงินค่าไถ่ที่แฮกเกอร์เรียกร้องจะเป็นเงิน Bitcoin ที่มีมูลค่าอยู่ระหว่าง 94-188 เหรียญสหรัฐฯ หรือประมาณ 3,000 – 6,000 บาท
ไฟล์ที่ถูกเข้ารหัสจะถูกเปลี่ยนนามสกุลเป็น .seven
การถอดรหัส
โปรแกรมเรียกค่าไถ่ตัวนี้เราสามารถค้นหาโค้ดถอดรหัสได้ผ่านเว็บไซต์ในภาพด้านล่าง
ซึ่งผู้ใช้เพียงต้องนำ UserID ที่อยู่ในรายละเอียดการเรียกค่าไถ่
วิธีการหลีกเลี่ยง
- อัพเดตแอปพลิเคชั่นและระบบปฏิบัติการของอุปกรณ์ หรือตั้งเป็นอัพเดตอัตโนมัติ ถ้าเป็นไปได้
- พยายามเลือกให้ App Store ที่น่าเชื่อถือได้อย่าง Google Play หรือ Amazon และหลีกเลี่ยงการดาวน์โหลดแอปพลิเคชั่นจากแหล่งที่มาที่ไม่รู้จัก
- ก่อนติดตั้งแอปพลิเคชั่นให้เช็คคะแนนและรีวิว เพราะความคิดเห็นเชิงลบมักมาจากผู้ใช้จริง และความคิดเห็นเชิงบวกอาจเป็นการสร้างขึ้นมา
- อ่านคำขออนุญาต (App Permission) ในขณะติดตั้ง และดูความสมเหตุสมผลของฟังก์ชั่นที่ใช้และแอปพลิเคชั่น
- ติดตั้งโปรแกรมรักษาความปลอดภัย
Indicators of Compromise (IoCs)
|
Hash
|
ESET detection name
|
|
B502874681A709E48F3D1DDFA6AE398499F4BD23
|
Android/Filecoder.C
|
|
D5EF600AA1C01FA200ED46140C8308637F09DFCD
|
Android/Filecoder.C
|
|
B502874681A709E48F3D1DDFA6AE398499F4BD23
|
Android/Filecoder.C
|
|
F31C67CCC0D1867DB1FBC43762FCF83746A408C2
|
Android/Filecoder.C
|
|
Bitcoin address
|
|
16KQjht4ePZxxGPr3es24VQyMYgR9UEkFy
|
|
Contact e-mail address
|
|
h3athledger@yandex[.]ru
|
|
Affected Android versions
|
|
Android 5.1 and above
|
Author: Lukas Stefanko
Source: https://www.welivesecurity.com/2019/07/29/android-ransomware-back/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
นักวิจัยความปลอดภัยของ ESET พบโปรแกรมเรียกค่าไถ่ (Ransomware) สายพันธุ์ใหม่บนแพลตฟอร์มแอนดรอยด์ ที่มีความสามารถในการแพร่กระจายผ่านรายชื่อในโทรศัพท์
ช่วงสองปีที่ผ่านมาโปรแกรมเรียกค่าไถ่ (Ransomware) บนแพลตฟอร์มแอนดรอยด์มีแนวโน้มลดลง แต่ล่าสุดนักวิจัยของ ESET พบสายพันธุ์ใหม่ ที่โปรแกรมของ ESET สามารถตรวจจับได้ในชื่อ Android/Filecoder.C ซึ่งแพร่กระจายไปในหลายกลุ่มคอมมิวนิตี้ใต้ดิน ตัวกลางที่ใช้ในการแพร่กระจายก็คือรายชื่อผู้ติดต่อ โดยใช้ SMS ที่มีลิงก์อันตราย ในตอนนี้การโจมตีนั้นยังคงอยู่ในวงแคบอยู่ แต่หากแฮกเกอร์สามารถแก้ไขจุดบอดนี้ได้ Android/Filecoder.C ก็อาจกลายเป็นภัยคุกคามร้ายแรงได้ไม่ยาก
Android/Filecoder.C เริ่มทำงานมาตั้งแต่ 12 กรกฎาคม 2019 เป็นอย่างน้อย พวกเขาปล่อยลิงก์อันตรายผ่านโพสต์ในฟอรั่มของ Reddit และ “XDA Developers” ซึ่งทางเราแจ้งไปยังสองเว็บไซต์นี้แล้ว ทาง XDA Developers เอาโพสต์ออกอย่างรวดเร็ว แต่ ณ เวลาที่เขียนบทความนี้ โพสต์บน Reddit ยังคงอยู่
ความน่ากลัวของ Android/Filecoder.C คือการแพร่กระจายผ่าน SMS ที่ถูกส่งให้กับทุกคนที่อยู่ในรายชื่อผู้ติดต่อ ซึ่งหากผู้ใช้คลิกลิงก์และทำตามขั้นตอนและติดตั้งแอปพลิเคชั่น โปรแกรมเรียกค่าไถ่จะเข้ารหัส(ล็อค)ไฟล์แทบทั้งหมดในเครื่องและส่งข้อความเรียกค่าไถ่ แต่ระบบเข้ารหัสยังคงมีข้อบกพร่องอยู่และสามารถแก้ไขได้
ผู้ใช้ ESET Mobile Security จะได้รับข้อความแจ้งเตือนลิงก์อันตราย รวมถึงยับยั้งการทำงานของไฟล์ที่ดาวน์โหลดมา
การแพร่กระจาย
แผนการที่เราค้นพบใช้สองโดเมนที่เก็บไฟล์อันตรายเอาไว้ (รายละเอียดโดเมนอยู่ในรายชื่อ IoCs ด้านล่าง) ที่ควบคุมโดยแฮกเกอร์ และหลอกล่อให้คนเข้ามาโดยโพสต์หรือคอมเม้นต์ตามภาพด้านล่าง
หัวข้อส่วนมากจะเกี่ยวกับสื่อลามก และมีเทคนิคการเชิญชวนที่หลากหลาย ทั้งลิงก์และภาพ QR Code ที่พาไปยังไฟล์อันตราย
การแพร่กระจายต่อเนื่อง
อย่างที่กล่าวไปว่า Android/Firecoder.C มีความสามารถในการแพร่กระจายต่อเนื่องด้วยการส่งข้อความ SMS ผ่านฐานข้อมูลรายชื่อผู้ติดต่อในเครื่องของเป้าหมาย
ข้อความที่ถูกส่งออกไปจะมีลิงก์ไปยังตัวโปรแกรมเรียกค่าไถ่ เพื่อขยายขอบเขตการแพร่กระจาย ซึ่งแฮกเกอร์ได้เตรียมการรับรองภาษาของข้อความไว้ภถึง 42 ภาษา ให้เข้ากับการตั้งค่าการใช้งานของผู้ใช้ รวมถึงใช้ชื่อจากข้อมูลรายชื่อที่เอามาด้วย
กระบวนการทำงาน
หลังจากติดตั้งแอปพลิเคชั่นแล้ว โปรแกรมจะเชื่อมต่อกับแฮกเกอร์ผ่านเซิร์ฟเวอร์ C&C จากนั้นจะส่งข้อความ (อย่างที่เขียนในหัวข้อการแพร่กระจายต่อเนื่อง) ก่อนที่เข้ารหัส(ล็อค)ไฟล์ทั้งหมดที่เข้าถึงได้ และส่งข้อความเรียกค่าไถ่
จากข้อความที่บอกว่าข้อมูลของคุณจะหายไปภายใน 72 ชั่วโมงนั้นไม่ได้เป็นความจริง เพราะจากที่ตรวจสอบยังไม่พบว่ากระบวนการลบไฟล์ภายใน 72 มีอยู่จริง
จำนวนเงินค่าไถ่ที่แฮกเกอร์เรียกร้องจะเป็นเงิน Bitcoin ที่มีมูลค่าอยู่ระหว่าง 94-188 เหรียญสหรัฐฯ หรือประมาณ 3,000 – 6,000 บาท
ไฟล์ที่ถูกเข้ารหัสจะถูกเปลี่ยนนามสกุลเป็น .seven
การถอดรหัส
โปรแกรมเรียกค่าไถ่ตัวนี้เราสามารถค้นหาโค้ดถอดรหัสได้ผ่านเว็บไซต์ในภาพด้านล่าง
ซึ่งผู้ใช้เพียงต้องนำ UserID ที่อยู่ในรายละเอียดการเรียกค่าไถ่
วิธีการหลีกเลี่ยง
Indicators of Compromise (IoCs)
Author: Lukas Stefanko
Source: https://www.welivesecurity.com/2019/07/29/android-ransomware-back/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: