วันที่ประกาศ: 12 มิถุนายน 2556
ปรับปรุงล่าสุด: 12 มิถุนายน 2556
เรื่อง: ระวังภัย มัลแวร์ใน Android ในรูปแบบของแอนตี้ไวรัส AVG ปลอม
ประเภทภัยคุกคาม: Malicious Code
ข้อมูลทั่วไปไทยเซิร์ตได้รับรายงานมัลแวร์ที่ทำงานบนระบบปฏิบัติการ Android เผยแพร่อยู่บนอินเทอร์เน็ต ในการโจมตีผู้ไม่ประสงค์ดีจะหลอกผู้ใช้งานอินเทอร์เน็ตให้เปิดหน้าเว็บไซต์ธนาคารปลอม ซึ่งในหน้าเว็บไซต์ดังกล่าวจะมีการปรับแต่งให้เสมือนว่าเป็นหน้าของเว็บไซต์จริงทั้งหมด รวมถึงมีการแจ้งเตือนให้ผู้ใช้งานดาวโหลดแอปพลิเคชันแอนตี้ไวรัสที่ชื่อว่า AVG ได้ฟรี โดยแอปพลิเคชันดังกล่าวเป็นแอปพลิเคชันปลอมที่ผู้ไม่ประสงค์ดีสร้างขึ้นมาเลียนแบบแอปพลิเคชันแอนตี้ไวรัสของ AVG และมีวัตถุประสงค์เพื่อขโมยข้อมูล SMS บนโทรศัพท์มือถือของผู้ใช้งานที่ติดตั้งแอปพลิเคชันดังกล่าว
http://avg.<สงวนข้อมูล>.mobi/avg.apk
-File Name: avg.apk
-File size: 279,115 bytes
-MD5: d232f20d95f97147c36ec246c8a140a6
-SHA1: 9b165adf118e957ecc50c063ca5bd0013cb9fe2a
ทีมไทยเซิร์ตได้ตรวจสอบข้อมูลต่างๆของแอปพลิเคชันที่อยู่ในไฟล์ .apk โดยวิธีการ Reverse Engineering พบว่ามีโครงสร้างซอร์สโค้ด ดังรูปที่ 1
รูปที่ 1 แสดงโครงสร้างของไฟล์ avg.apk ไฟล์ AndroidManifest.xml เป็นไฟล์ที่ใช้กำหนดคุณสมบัติของแอปพลิเคชัน รวมถึงกำหนดสิทธิ (Permission) ที่แอปพลิเคชันนั้นสามารถเข้าถึงได้ ซึ่งพบว่าแอปพลิเคชั่นดังกล่าวมีความสามารถในการอ่าน เขียน และส่ง SMS อย่างไรก็ตาม ไม่พบว่าแอปพลิเคชันนี้มีสิทธิในการเชื่อมต่ออินเทอร์เน็ตได้ ดังรูปที่ 2
รูปที่ 2 ข้อมูลจากไฟล์ AndroidManifest.xm เมื่อตรวจสอบซอร์สโค้ดของแอปพลิเคชั่น พบว่ามีฟังก์ชันในการส่ง SMS ไปยังหมายเลขโทรศัพท์ที่อยู่ในประเทศอังกฤษ (+447624803598) ดังรูปที่ 3
รูปที่ 3 แสดงฟังก์ชั่นที่แสดงให้เห็นว่ามีการตั้งค่าและมีการส่ง SMS ไปยังหมายเลข +447624803598 เมื่อทดลองติดตั้งแอปพลิเคชันลงในโปรแกรมโทรศัพท์มือถือที่ใช้งานระบบปฏิบัติการ Android พบไอคอนของแอปพลิเคชันที่ชื่อ AVG AntiVirus ดังรูปที่ 4
รูปที่ 4 ไอคอนของแอปพลิเคชันที่ถูกติดตั้ง เมื่อเปิดเข้าไปยังแอปพลิเคชันดังกล่าว จะพบหน้าจอเป็นรูปโลโก้แอนตี้ไวรัส และมีลักษณะเป็นช่องกรอกข้อมูลพร้อมหมายเลขรายละเอียด "777390927" แต่จากการตรวจสอบพบว่าเป็นเพียงรูปโลโก้และไม่สามารถแก้ไขข้อมูลหรือทำอะไรได้ เมื่อทดสอบกดที่ปุ่ม OK พบว่าแอปพลิเคชันจะปิดตัวลงโดยอัตโนมัติ รวมถึงจากการวิเคราะห์ซอร์สโค้ดร่วมกับการทดสอบจริงพบว่ามีการซ่อนไอคอนของแอปพลิเคชันภายหลังจากการรีบูตหรือปิดเครื่อง ซึ่งจุดประสงค์คาดว่าต้องการอำพรางการทำงานของแอปพลิเคชันดังกล่าว
รูปที่ 5 ตัวอย่างหน้าจอแอปพลิเคชันปลอมของแอนตี้ไวรัส ผลกระทบผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวอาจถูกขโมยข้อมูลสำคัญจาก SMS เช่น ข้อมูลรหัส OTP สำหรับเข้าทำธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งอาจถูกนำไปใช้โดยผู้ไม่ประสงค์ดีและนำไปสู่การขโมยเงินจากบัญชีธนาคารภายหลังได้
ระบบที่ได้รับผลกระทบระบบปฏิบัติการ Android ที่ติดตั้งแอปพลิเคชันแอนตี้ไวรัส AVG ปลอม
ข้อแนะนำในการป้องกันและแก้ไขจะเห็นได้ว่า การโจมตีดังกล่าวนี้เกิดจากการที่ผู้ไม่หวังดีหลอกให้ผู้ใช้ติดตั้งแอปพลิเคชันหลอกลวงที่อ้างว่าเป็นแอนตี้ไวรัสเพื่อใช้ตรวจสอบมัลแวร์บนโทรศัพท์มือถือ โดยแหล่งที่มาของแอปพลิเคชันนั้นไม่ได้มาจากเว็บไซต์จริงของเว็บไซต์ผู้พัฒนา และเป็นการติดตั้งแอปพลิเคชันจากแหล่งซอฟต์แวร์ภายนอกที่ไม่ใช่ Google Play Store และเมื่อมีการใช้งานแอปพลิเคชันแอนตี้ไวรัสของ AVG ที่ดาวโหลดจาก Google Play Store มาทดสอบ พบว่าสามารถตรวจจับการทำงานที่เป็นอันตรายของแอปพลิเคชันปลอมดังกล่าวได้ดังรูปที่ 6 รวมถึงเมื่อนำไฟล์มัลแวร์ไปตรวจสอบบนเว็บไซต์
www.virustotal.com แล้วพบว่าเป็นมัลแวร์ตระกูลชื่อ Zitmo ซึ่งมีความสามารถในการขโมยข้อมูล SMS เป็นหลัก
รูปที่ 6 ตัวอย่างหน้าจอแอปพลิเคชันของแอนตี้ไวรัส AVG ที่ดาวโหลดจาก Google Play Store และสามารถตรวจจับพฤติกรรมอันตรายของแอปพลิเคชันปลอมดังกล่าวได้ การป้องกันตัวไม่ให้ตกเป็นเหยื่อจากจากการโจมตีด้วยวิธีดังกล่าว ผู้ใช้งานควรพิจารณาแอปพลิเคชันที่จะติดตั้งลงในโทรศัพท์มือถืออย่างรอบคอบ ไม่ควรติดตั้งแอปพลิเคชันที่มีแหล่งที่มาไม่น่าเชื่อถือ รวมถึงตรวจสอบการร้องขอสิทธิ (Permission) ของแอปพลิเคชันนั้นๆ ว่ามีความเหมาะสมหรือไม่
อย่างไรก็ตาม ปัญหามัลแวร์ในระบบปฏิบัติการ Android ไม่ใช่เรื่องใหม่ ทางไทยเซิร์ตได้เคยนำเสนอวิธีการตรวจสอบและป้องกันปัญหามัลแวร์ รวมถึงวิธีการใช้งานโทรศัพท์มือถือให้ปลอดภัย ผู้อ่านสามารถศึกษาเพิ่มเติมได้จากบทความ
แนวทางการใช้งานโทรศัพท์มือถือให้ปลอดภัยจากภัยคุกคาม [1]
รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android [2]
รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android ตอนที่ 2 [3]
อ้างอิงhttp://www.thaicert.or.th/papers/general/2011/pa2011ge010.htmlhttp://www.thaicert.or.th/papers/technical/2012/pa2012te003.htmlhttp://www.thaicert.or.th/papers/technical/2012/pa2012te011.htmlที่มา:
https://www.thaicert.or.th/alerts/user/2013/al2013us007.html