Author Topic: ระวังภัย มัลแวร์ใน Android ในรูปแบบของแอนตี้ไวรัส AVG ปลอม  (Read 4668 times)

0 Members and 1 Guest are viewing this topic.

Offline Nick

  • Administrator
  • Platinum Member
  • *
  • Posts: 46028
  • Karma: +1000/-0
  • Gender: Male
  • NickCS
    • http://www.facebook.com/nickcomputerservices
    • http://www.twitter.com/nickcomputer
    • Computer Chiangmai


วันที่ประกาศ: 12 มิถุนายน 2556
ปรับปรุงล่าสุด: 12 มิถุนายน 2556
เรื่อง: ระวังภัย มัลแวร์ใน Android ในรูปแบบของแอนตี้ไวรัส AVG ปลอม

ประเภทภัยคุกคาม: Malicious Code

ข้อมูลทั่วไป

ไทยเซิร์ตได้รับรายงานมัลแวร์ที่ทำงานบนระบบปฏิบัติการ Android เผยแพร่อยู่บนอินเทอร์เน็ต ในการโจมตีผู้ไม่ประสงค์ดีจะหลอกผู้ใช้งานอินเทอร์เน็ตให้เปิดหน้าเว็บไซต์ธนาคารปลอม ซึ่งในหน้าเว็บไซต์ดังกล่าวจะมีการปรับแต่งให้เสมือนว่าเป็นหน้าของเว็บไซต์จริงทั้งหมด รวมถึงมีการแจ้งเตือนให้ผู้ใช้งานดาวโหลดแอปพลิเคชันแอนตี้ไวรัสที่ชื่อว่า AVG ได้ฟรี โดยแอปพลิเคชันดังกล่าวเป็นแอปพลิเคชันปลอมที่ผู้ไม่ประสงค์ดีสร้างขึ้นมาเลียนแบบแอปพลิเคชันแอนตี้ไวรัสของ AVG และมีวัตถุประสงค์เพื่อขโมยข้อมูล SMS บนโทรศัพท์มือถือของผู้ใช้งานที่ติดตั้งแอปพลิเคชันดังกล่าว

http://avg.<สงวนข้อมูล>.mobi/avg.apk
-File Name: avg.apk
-File size: 279,115 bytes
-MD5: d232f20d95f97147c36ec246c8a140a6
-SHA1: 9b165adf118e957ecc50c063ca5bd0013cb9fe2a

ทีมไทยเซิร์ตได้ตรวจสอบข้อมูลต่างๆของแอปพลิเคชันที่อยู่ในไฟล์ .apk โดยวิธีการ Reverse Engineering พบว่ามีโครงสร้างซอร์สโค้ด ดังรูปที่ 1



รูปที่ 1 แสดงโครงสร้างของไฟล์ avg.apk


ไฟล์ AndroidManifest.xml เป็นไฟล์ที่ใช้กำหนดคุณสมบัติของแอปพลิเคชัน รวมถึงกำหนดสิทธิ (Permission) ที่แอปพลิเคชันนั้นสามารถเข้าถึงได้ ซึ่งพบว่าแอปพลิเคชั่นดังกล่าวมีความสามารถในการอ่าน เขียน และส่ง SMS อย่างไรก็ตาม ไม่พบว่าแอปพลิเคชันนี้มีสิทธิในการเชื่อมต่ออินเทอร์เน็ตได้ ดังรูปที่ 2



รูปที่ 2 ข้อมูลจากไฟล์ AndroidManifest.xm


เมื่อตรวจสอบซอร์สโค้ดของแอปพลิเคชั่น พบว่ามีฟังก์ชันในการส่ง SMS ไปยังหมายเลขโทรศัพท์ที่อยู่ในประเทศอังกฤษ (+447624803598) ดังรูปที่ 3



รูปที่ 3 แสดงฟังก์ชั่นที่แสดงให้เห็นว่ามีการตั้งค่าและมีการส่ง SMS ไปยังหมายเลข +447624803598


เมื่อทดลองติดตั้งแอปพลิเคชันลงในโปรแกรมโทรศัพท์มือถือที่ใช้งานระบบปฏิบัติการ Android พบไอคอนของแอปพลิเคชันที่ชื่อ AVG AntiVirus ดังรูปที่ 4



รูปที่ 4 ไอคอนของแอปพลิเคชันที่ถูกติดตั้ง


เมื่อเปิดเข้าไปยังแอปพลิเคชันดังกล่าว จะพบหน้าจอเป็นรูปโลโก้แอนตี้ไวรัส และมีลักษณะเป็นช่องกรอกข้อมูลพร้อมหมายเลขรายละเอียด "777390927" แต่จากการตรวจสอบพบว่าเป็นเพียงรูปโลโก้และไม่สามารถแก้ไขข้อมูลหรือทำอะไรได้ เมื่อทดสอบกดที่ปุ่ม OK พบว่าแอปพลิเคชันจะปิดตัวลงโดยอัตโนมัติ รวมถึงจากการวิเคราะห์ซอร์สโค้ดร่วมกับการทดสอบจริงพบว่ามีการซ่อนไอคอนของแอปพลิเคชันภายหลังจากการรีบูตหรือปิดเครื่อง ซึ่งจุดประสงค์คาดว่าต้องการอำพรางการทำงานของแอปพลิเคชันดังกล่าว



รูปที่ 5 ตัวอย่างหน้าจอแอปพลิเคชันปลอมของแอนตี้ไวรัส


ผลกระทบ

ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวอาจถูกขโมยข้อมูลสำคัญจาก SMS เช่น ข้อมูลรหัส OTP สำหรับเข้าทำธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งอาจถูกนำไปใช้โดยผู้ไม่ประสงค์ดีและนำไปสู่การขโมยเงินจากบัญชีธนาคารภายหลังได้


ระบบที่ได้รับผลกระทบ

ระบบปฏิบัติการ Android ที่ติดตั้งแอปพลิเคชันแอนตี้ไวรัส AVG ปลอม


ข้อแนะนำในการป้องกันและแก้ไข

จะเห็นได้ว่า การโจมตีดังกล่าวนี้เกิดจากการที่ผู้ไม่หวังดีหลอกให้ผู้ใช้ติดตั้งแอปพลิเคชันหลอกลวงที่อ้างว่าเป็นแอนตี้ไวรัสเพื่อใช้ตรวจสอบมัลแวร์บนโทรศัพท์มือถือ โดยแหล่งที่มาของแอปพลิเคชันนั้นไม่ได้มาจากเว็บไซต์จริงของเว็บไซต์ผู้พัฒนา และเป็นการติดตั้งแอปพลิเคชันจากแหล่งซอฟต์แวร์ภายนอกที่ไม่ใช่ Google Play Store และเมื่อมีการใช้งานแอปพลิเคชันแอนตี้ไวรัสของ AVG ที่ดาวโหลดจาก Google Play Store มาทดสอบ พบว่าสามารถตรวจจับการทำงานที่เป็นอันตรายของแอปพลิเคชันปลอมดังกล่าวได้ดังรูปที่ 6 รวมถึงเมื่อนำไฟล์มัลแวร์ไปตรวจสอบบนเว็บไซต์ www.virustotal.com แล้วพบว่าเป็นมัลแวร์ตระกูลชื่อ Zitmo ซึ่งมีความสามารถในการขโมยข้อมูล SMS เป็นหลัก



รูปที่ 6 ตัวอย่างหน้าจอแอปพลิเคชันของแอนตี้ไวรัส AVG ที่ดาวโหลดจาก Google Play Store และสามารถตรวจจับพฤติกรรมอันตรายของแอปพลิเคชันปลอมดังกล่าวได้



การป้องกันตัวไม่ให้ตกเป็นเหยื่อจากจากการโจมตีด้วยวิธีดังกล่าว ผู้ใช้งานควรพิจารณาแอปพลิเคชันที่จะติดตั้งลงในโทรศัพท์มือถืออย่างรอบคอบ ไม่ควรติดตั้งแอปพลิเคชันที่มีแหล่งที่มาไม่น่าเชื่อถือ รวมถึงตรวจสอบการร้องขอสิทธิ (Permission) ของแอปพลิเคชันนั้นๆ ว่ามีความเหมาะสมหรือไม่

อย่างไรก็ตาม ปัญหามัลแวร์ในระบบปฏิบัติการ Android ไม่ใช่เรื่องใหม่ ทางไทยเซิร์ตได้เคยนำเสนอวิธีการตรวจสอบและป้องกันปัญหามัลแวร์ รวมถึงวิธีการใช้งานโทรศัพท์มือถือให้ปลอดภัย ผู้อ่านสามารถศึกษาเพิ่มเติมได้จากบทความ

แนวทางการใช้งานโทรศัพท์มือถือให้ปลอดภัยจากภัยคุกคาม [1]
รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android [2]
รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android ตอนที่ 2 [3]


อ้างอิง

http://www.thaicert.or.th/papers/general/2011/pa2011ge010.html
http://www.thaicert.or.th/papers/technical/2012/pa2012te003.html
http://www.thaicert.or.th/papers/technical/2012/pa2012te011.html


ที่มา: https://www.thaicert.or.th/alerts/user/2013/al2013us007.html


 
Share this topic...
In a forum
(BBCode)
In a site/blog
(HTML)


Related Topics

  Subject / Started by Replies Last post
0 Replies
2986 Views
Last post November 22, 2011, 05:43:05 PM
by Nick
0 Replies
1696 Views
Last post April 05, 2012, 12:23:53 PM
by Nick
0 Replies
1573 Views
Last post April 09, 2012, 05:27:39 PM
by Nick
0 Replies
1453 Views
Last post May 25, 2012, 07:29:25 PM
by Nick
0 Replies
1447 Views
Last post July 23, 2012, 07:44:36 PM
by Nick
0 Replies
1708 Views
Last post October 05, 2012, 01:35:18 PM
by Nick
0 Replies
1322 Views
Last post August 05, 2013, 12:22:06 PM
by Nick
0 Replies
1133 Views
Last post August 23, 2013, 12:36:50 PM
by Nick
0 Replies
1304 Views
Last post September 18, 2013, 12:37:37 PM
by Nick
0 Replies
1759 Views
Last post September 19, 2013, 08:38:57 PM
by Nick