ภัยมัลแวร์ใน Android เงินหายจากธนาคารออนไลน์ OTP ก็เอาไม่อยู่

[Nick]

แจ้งระวังโปรแกรมโทรจัน/สปายแวร์ คำเตือนจากธนาคารกสิกรไทย

ระวังภัย มัลแวร์ใน Android หลอกขโมยเงินจากธนาคาร
วันที่ประกาศ: 8 มีนาคม 2556
ปรับปรุงล่าสุด: 8 มีนาคม 2556
เรื่อง: ระวังภัย มัลแวร์ใน Android หลอกขโมยเงินจากธนาคาร

ประเภทภัยคุกคาม: Malicious Code

ข้อมูลทั่วไป

จากที่มีการเผยแพร่ข้อมูลในงาน CDIC2013 ที่จัดขึ้นเมื่อวันที่ 27 - 28 กุมภาพันธ์ 2556 เรื่องมัลแวร์ในระบบปฏิบัติการ Android หลอกขโมยเงินจากธนาคาร [1] ทางไทยเซิร์ตได้ตรวจสอบเว็บไซต์ที่เผยแพร่มัลแวร์และได้ทำการวิเคราะห์มัลแวร์ดังกล่าว ได้ผลสรุปดังนี้

ในการโจมตี ผู้ไม่หวังดีได้ส่ง SMS มายังโทรศัพท์มือถือของเหยื่อ ข้อความใน SMS ระบุลิงก์สำหรับดาวน์โหลดไฟล์ .apk ซึ่งเป็นแอปพลิเคชั่นของระบบปฏิบัติการ Android โดยลิงก์ที่ให้ดาวน์โหลดไฟล์ดังกล่าวคือ [2] [3]

http://scb.<สงวนข้อมูล>.info/scbeasy.apk
File Name: scbeasy.apk
File size: 235093 bytes
MD5: 1108B16034254CA989B84A48E8E03D78
SHA1: D504E50CB4560B7E8AF3E9D868975D3A83E8EEB3


http://kasikorn.<สงวนข้อมูล>.info/ibanking.apk
File Name: ibanking.apk
File size: 266157 bytes
MD5: 06806E271792E7E521B28AD713601F2E
SHA1: 76CE639C5FFEA7B25455A219011B28E36A6458E6

หากผู้ใช้เข้าไปยังหน้าแรกของเว็บไซต์ที่เผยแพร่มัลแวร์โดยไม่ระบุพาธของไฟล์ .apk จะพบว่าหน้าเว็บไซต์ดังกล่าว Redirect ไปยังหน้าเว็บไซต์จริงของธนาคาร ซึ่งผู้ไม่หวังดีใช้วิธีนี้ในการหลอกลวงเหยื่อให้เชื่อว่าเว็บไซต์ดังกล่าวนี้เป็นเว็บไซต์จริงของธนาคาร

ทีมไทยเซิร์ตได้ตรวจสอบข้อมูลที่อยู่ในไฟล์ .apk ทั้งสองไฟล์ พบว่ามีโครงสร้างภายในเหมือนกัน ดังรูปที่ 1 โดยมีส่วนที่แตกต่างคือไฟล์กราฟฟิกที่อยู่ในไดเรกทอรี drawable จะเป็นโลโก้ของธนาคารที่ถูกผู้ไม่หวังดีแอบอ้าง

รูปที่ 1 เปรียบเทียบโครงสร้างของไฟล์ ibanking.apk และ scbeasy.apk

เมื่อตรวจสอบข้อมูลในไฟล์ AndroidManifest.xml ของทั้งสองไฟล์ พบว่าใช้ชื่อ package เหมือนกันคือ "com.fake.site" ดังรูปที่ 2

รูปที่ 2 ข้อมูลในไฟล์ AndroidManifest.xml

ไฟล์ AndroidManifest.xml เป็นไฟล์ที่ใช้กำหนดคุณสมบัติของแอปพลิเคชัน รวมถึงกำหนดสิทธิ (Permission) ที่แอปพลิเคชันนั้นสามารถเข้าถึงได้ [4] ซึ่งจากข้อมูลดังกล่าว พบว่าทั้งสองแอปพลิเคชั่นมีความสามารถในการเขียนข้อมูลลงใน External storage (เช่น SD Card) และรับส่ง SMS อย่างไรก็ตาม ทั้งสองแอปพลิเคชันนี้ไม่สามารถเชื่อมต่ออินเทอร์เน็ตได้

เมื่อตรวจสอบโค้ดของทั้งสองแอปพลิเคชั่น พบว่ามีฟังก์ชันในการส่ง SMS ไปยังหมายเลขโทรศัพท์ที่อยู่ในประเทศรัสเซีย ดังรูปที่ 3

รูปที่ 3 หมายเลขโทรศัพท์ที่จะส่ง SMS ไป

และพบ String ที่เป็นรหัส Unicode ซึ่งสามารถแปลงกลับได้เป็นข้อความภาษาไทยว่า “รหัสผ่านไม่ตรงกัน” ดังรูปที่ 4

รูปที่ 4 String ที่พบในแอปพลิเคชัน

เมื่อทดลองติดตั้งทั้งสองแอปพลิเคชันลงในโปรแกรม Android emulator พบไอคอนของแอปพลิเคชันที่ชื่อ certificate ดังรูปที่ 5

รูปที่ 5 ไอคอนของแอปพลิเคชันที่ถูกติดตั้ง

เมื่อเปิดเข้าไปยังแอปพลิเคชันดังกล่าว จะพบหน้าจอให้ใส่รหัสผ่านสำหรับเข้าใช้งานบัญชีธนาคารออนไลน์ ดังรูปที่ 6 หากใส่รหัสผ่านทั้งสองช่องไม่ตรงกัน จะปรากฎข้อความว่า “รหัสผ่านไม่ตรงกัน”

รูปที่ 6 ตัวอย่างหน้าจอแอปพลิเคชันปลอมของธนาคารออนไลน์

เมื่อป้อนรหัสผ่านและกดปุ่ม “ต่อ” จะพบหน้าจอดังรูปที่ 7

รูปที่ 7 ตัวอย่างหน้าจอหลังกรอกข้อมูลรหัสผ่าน

จากการใช้คำสั่ง logcat [5] เพื่อบันทึก Log ของสิ่งที่เกิดขึ้นในระบบ พบว่ามีการส่ง SMS ออกไปยังหมายเลขโทรศัพท์ตามที่ปรากฏอยู่ในโค้ดของแอปพลิเคชัน ดังรูปที่ 8

รูปที่ 8 Log แสดงการส่ง SMS

ผลกระทบ

ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวอาจถูกหลอกให้กรอกข้อมูลที่เกี่ยวข้องกับบัญชีธนาคารออนไลน์ แล้วถูกผู้ไม่หวังดีขโมยบัญชีผู้ใช้ ซึ่งอาจนำไปสู่การขโมยเงินจากธนาคารในภายหลังได้
ระบบที่ได้รับผลกระทบ

ระบบปฏิบัติการ Android ที่ติดตั้งแอปพลิเคชันปลอมของธนาคารออนไลน์


ข้อแนะนำในการป้องกันและแก้ไข

จะเห็นได้ว่า การโจมตีดังกล่าวนี้เกิดจากการที่ผู้ไม่หวังดีหลอกให้ผู้ใช้ติดตั้งแอปพลิเคชันหลอกลวงที่อ้างว่าสามารถเข้าใช้งานบัญชีธนาคารออนไลน์ได้ โดยแหล่งที่มาของแอปพลิเคชันนั้นไม่ได้มาจากเว็บไซต์จริงของธนาคาร และเป็นการติดตั้งแอปพลิเคชันจากแหล่งซอฟต์แวร์ภายนอกที่ไม่ใช่ Google Play Store

การป้องกันตัวไม่ให้ตกเป็นเหยื่อจากจากการโจมตีด้วยวิธีดังกล่าว ผู้ใช้งานควรพิจารณาแอปพลิเคชันที่จะติดตั้งลงในโทรศัพท์มือถืออย่างรอบคอบ ไม่ควรติดตั้งแอปพลิเคชันที่มีแหล่งที่มาไม่น่าเชื่อถือ รวมถึงตรวจสอบการร้องขอสิทธิ (Permission) ของแอปพลิเคชันนั้นๆ ว่ามีความเหมาะสมหรือไม่

อย่างไรก็ตาม ปัญหามัลแวร์ในระบบปฏิบัติการ Android ไม่ใช่เรื่องใหม่ ทางไทยเซิร์ตได้เคยนำเสนอวิธีการตรวจสอบและป้องกันปัญหามัลแวร์ รวมถึงวิธีการใช้งานโทรศัพท์มือถือให้ปลอดภัย ผู้อ่านสามารถศึกษาเพิ่มเติมได้จากบทความ


แนวทางการใช้งานโทรศัพท์มือถือให้ปลอดภัยจากภัยคุกคาม [6]
รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android [7]
รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android ตอนที่ 2 [8]


อ้างอิง

http://www.acisonline.net/
https://twitter.com/PrinyaACIS/status/307711776873668608
https://www.scbeasy.com/v1.4/site/presignon/mtrl/File/SCB%20Easy%20Net_%20Ex.Phishing%20SMS.pdf
http://docs.xamarin.com/guides/android/advanced_topics/working_with_androidmanifest.xml
http://developer.android.com/tools/help/logcat.html
http://www.thaicert.or.th/papers/general/2011/pa2011ge010.html
http://www.thaicert.or.th/papers/technical/2012/pa2012te003.html
http://www.thaicert.or.th/papers/technical/2012/pa2012te011.html

ที่มา: http://www.thaicert.or.th/alerts/user/2013/al2013us004.html, http://www.kasikornbank.com/th/whathot/pages/Phishing_Kcyber.aspx