วันที่ประกาศ: 13 สิงหาคม 2557
ปรับปรุงล่าสุด: 26 สิงหาคม 2557
เรื่อง: ระวังภัย มัลแวร์ใน Android (แจ้ง.apk, รับทราบ.apk) แพร่กระจายด้วยการส่ง SMSประเภทภัยคุกคาม: Malicious Code
ปรับปรุงข้อมูลล่าสุดวันที่ 26 สิงหาคม 2557 ไทยเซิร์ตได้รับแจ้งข้อมูลอีกครั้ง ถึงการเปลี่ยนลิงก์ที่ใช้เผยแพร่ไฟล์มัลแวร์ (แจ้ง.apk) มาเป็น http:// goo.gl/lNFLXN อย่างไรก็ตามจากการประสานงานแก้ไขปัญหาและตรวจสอบล่าสุดพบว่าลิงก์ดังกล่าวถูกปิดกั้นการเข้าถึงแล้ว รวมถึงในวันนี้ทาง บริษัท AIS ได้พัฒนาแอปพลิเคชันสำหรับอำนวยความสะดวกให้ผู้ใช้งานได้ตรวจสอบและถอนการติดตั้งของมัลแวร์ตัวดังกล่าวบนระบบปฏิบัติการณ์ Android โดยใช้ชื่อแอปพลิเคชันว่า “AIS Malware Remover” ผู้ใช้งานสามารถดาวน์โหลดได้แล้วที่ Google Play โดยมีตัวอย่างการใช้งานตามรูปด้านล่าง
รูปตัวอย่างแอปพลิเคชัน “AIS Malware Remover” ที่หน้าแรก กรณีที่มัลแวร์ถูกติดตั้งอยู่ รูปตัวอย่างการทำงานของแอปพลิเคชันในขั้นตอนที่ 1 (ยกเลิกการให้สิทธิ Device administration) รูปตัวอย่างการทำงานของแอปพลิเคชันในขั้นตอนที่ 2 (ถอนการติดตั้งแอปพลิเคชันมัลแวร์) วันที่ 23 สิงหาคม 2557 ไทยเซิร์ตได้รับแจ้งข้อมูลอีกครั้ง ถึงการเปลี่ยนลิงก์ที่ใช้เผยแพร่ไฟล์มัลแวร์ (รับทราบ.apk) มาเป็น http:// goo.gl/AjT773 อย่างไรก็ตามจากการตรวจสอบล่าสุดพบว่าลิงก์ที่ได้รับแจ้งในวันที่ 22 สิงหาคม 2557 ได้ถูกปิดกั้นและไม่สามารถเข้าถึงได้แล้ว และหากผู้ใช้งานท่านใดพบลิงก์มัลแวร์ที่เปลี่ยนแปลงไป สามารถแจ้งเข้ามายังไทยเซิร์ตเพื่อให้ประสานปิดกั้นการเข้าถึงได้ทันที
วันที่ 22 สิงหาคม 2557 ไทยเซิร์ตได้รับแจ้งข้อมูลเพิ่มเติมว่าผู้ไม่ประสงค์ดีมีการเปลี่ยนลิงก์ที่ใช้เผยแพร่ไฟล์มัลแวร์มาเป็น http:// goo.gl/q87XnM เนื่องจากลิงก์ที่พบในวันที่ 21 สิงหาคม 2557 นั้นถูกปิดกั้นและไม่สามารถเข้าถึงได้แล้ว โดยพบว่าเมื่อคลิกลิงก์ดังกล่าวจะมีการ Redirect ไปยังเว็บไซต์ Dropbox เพื่อดาวน์โหลดไฟล์มัลแวร์ชื่อ รับทราบ.apk มาติดตั้ง โดยการตรวจสอบข้อมูลไฟล์ .apk ดังกล่าวด้วยใช้เว็บไซต์ Virustotal พบว่าเป็นโทรจันที่มีความสามารถในการขโมยข้อมูล SMS เป็นหลัก [1] ซึ่งมีลักษณะที่คล้ายกับมัลแวร์ที่มีเป้าหมายเพื่อโจมตีผู้ใช้งานระบบธุรกรรมออนไลน์ต่างๆ เช่น e-Banking ด้วยการขโมย SMS มาใช้ในการทำธุรกรรมออนไลน์ ตามที่เคยเกิดขึ้นมาแล้วในอดีต และเมื่อมีการนำไฟล์มัลแวร์ทั้งหมดมาทำการ Decompile พบว่าซอร์สโค้ดของไฟล์มัลแวร์ แจ้ง.apk (พบในวันที่ 13 สิงหาคม 2557) ไฟล์มัลแวร์ รับทราบ.apk (พบในวันที่ 21 สิงหาคม 2557) ไฟล์มัลแวร์ รับทราบ.apk (พบในวันที่ 22 สิงหาคม 2557) มีการทำงานเหมือนกันทุกประการ (ผู้อ่านสามารถศึกษาพฤติกรรมเบื้องต้นของมัลแวร์ตัวนี้ได้จากข้อมูลด้านล่าง)
วันที่ 21 สิงหาคม 2557 ไทยเซิร์ตได้รับข้อมูลเพิ่มเติมว่าผู้ไม่ประสงค์ดีทำการส่งข้อความ SMS ไปยังผู้ใช้งานกลุ่มหนึ่ง โดยมีความพยายามเปลี่ยนแปลงข้อความให้แตกต่างไปจากวันที่ 13 สิงหาคม 2557 ว่า รับทราบ.apk และหากผู้ใช้งานคลิกไปยังลิงก์ดังกล่าวจะพบหน้าเว็บไซต์ Dropbox ที่ให้ดาวน์โหลดไฟล์ชื่อ รับทราบ.apk [2]
จากการตรวจสอบข้อมูลไฟล์ .apk ดังกล่าวโดยใช้เว็บไซต์ Virustotal พบว่าเป็นโทรจันที่มีความสามารถเช่นเดียวกับไฟล์มัลแวร์ชื่อ แจ้ง.apk เช่น การอ่านรายชื่อผู้ติดต่อ อ่าน แก้ไข และรับส่งข้อความ SMS รวมถึงเชื่อมต่ออินเทอร์เน็ต เป็นต้น[1]
ข้อมูลทั่วไปเมื่อวันที่ 13 สิงหาคม 2557 ไทยเซิร์ตได้รับรายงานว่ามีผู้ใช้งานโทรศัพท์มือถือระบบปฏิบัติการ Android ได้รับ SMS ข้อความ “(ชื่อผู้ติดต่อในโทรศัพท์), แจ้งให้ทราบการจัดส่งของคุณ
http://goo.gl/NPD8sd” ซึ่งเมื่อเปิดลิงก์จะพาไปยังหน้าเว็บไซต์ Dropbox ซึ่งเป็นเว็บไซต์บริการรับฝากไฟล์ เพื่อดาวน์โหลดไฟล์ชื่อ แจ้ง.apk เมื่อติดตั้งแอปพลิเคชันจากไฟล์ .apk ดังกล่าวลงในเครื่องแล้ว แอปพลิเคชันนี้จะลักลอบส่ง SMS ออกไปยังหมายเลขโทรศัพท์อื่นๆ ที่ถูกบันทึกอยู่ในเครื่อง เพื่อแพร่กระจายมัลแวร์ไปยังผู้ใช้รายอื่น [3] [4] จากการตรวจสอบโดยไทยเซิร์ตพบว่า แอปพลิเคชันดังกล่าวมีลักษณะเป็นโปรแกรมไม่พึงประสงค์ ผู้ใช้งานโทรศัพท์มือถือระบบปฏิบัติการ Android ควรตรวจสอบ SMS ที่น่าสงสัยและหลีกเลี่ยงการดาวน์โหลดหรือติดตั้งแอปพลิเคชันดังกล่าว
จากการวิเคราะห์ไฟล์ .apk ไทยเซิร์ตพบว่าแอปพลิเคชันดังกล่าวมีการร้องขอสิทธิ์การทำงาน (Permission) ที่น่าสงสัย แ ซึ่งการขอสิทธิ์ในลักษณะนี้ แอปพลิเคชันสามารถขโมยข้อมูลหรือทำให้ผู้ที่ติดตั้งแอปพลิเคชันดังกล่าวเสียเงินค่าส่ง SMS เป็นจำนวนมากได้ นอกจากนี้ แอปพลิเคชันยังมีการร้องขอสิทธิ์ Device administration ในการล็อกหน้าจอ ซึ่งเป็นที่น่าสังเกตว่าการร้องขอสิทธิ์ดังกล่าวอาจมีจุดประสงค์ที่ไม่ดีอื่น ๆ อีกด้วย
รูปที่ 1 สิทธิ์ที่แอปพลิเคชันสามารถเข้าถึงได้ รูปที่ 2 การร้องขอสิทธิ์ Device administration เมื่อเปิดแอปพลิเคชัน ผลกระทบ- ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวลงในเครื่องอาจถูกขโมยข้อมูลรายชื่อผู้ติดต่อหรือข้อมูลอื่นๆ
- ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวลงในเครื่องอาจต้องเสียค่าบริการ SMS ที่แอปพลิเคชันดังกล่าวลักลอบแอบส่งข้อความเป็นจำนวนมาก
เมื่อตรวจสอบผลกระทบต่อผู้ใช้ในประเทศไทยจากสถิติของการคลิกลิงก์ที่เผยแพร่มัลแวร์ (http:// goo.gl/NPD8sd) พบว่ามีการสร้างลิงก์ดังกล่าวตั้งแต่วันที่ 12 สิงหาคม โดยมีผู้ใช้ในประเทศไทยคลิกลิงก์นี้ถึง 19,056 ครั้ง
จากสถิติข้างต้นพบว่ามีผู้ใช้งานที่เข้าถึง URL ดังกล่าวจากระบบปฏิบัติการ iOS เป็นจำนวนกว่า 9,288 ครั้ง ซึ่งผู้ใช้งานในกลุ่มนี้น่าจะไม่ได้รับผลกระทบเนื่องจากใช้งานคนละระบบปฏิบัติการกัน และนอกจากนี้ จากสถิติที่จำแนกตามระบบปฏิบัติการ ที่พบว่าเป็นระบบปฏิบัติการ Linux จำนวนกว่า 9,000 ครั้ง มีความเป็นไปได้ว่า ผู้ใช้เข้าถึง URL จากโทรศัพท์มือถือระบบปฏิบัติการ Android เนื่องจากเว็บเบราว์เซอร์ในระบบปฏิบัติการ Android มักจะแสดงตัวเป็นระบบปฏิบัติการ Linux
ระบบที่ได้รับผลกระทบผู้ใช้งานโทรศัพท์มือถือหรืออุปกรณ์ที่ใช้ระบบปฏิบัติการ Android
ข้อแนะนำในการป้องกันและแก้ไขเมื่อติดตั้งแอปพลิเคชันดังกล่าวลงในเครื่อง แอปพลิเคชันอันตรายนี้จะใช้ชื่อว่า Google Service Framework ซึ่งตั้งชื่อคล้ายคลึงกับแอปพลิเคชันจริงที่ชื่อว่า Google Services Framework (มี s ต่อท้าย Service) ดังนั้นสำหรับผู้ใช้งานที่ติดตั้งแอปพลิเคชันดังกล่าวไปแล้ว ให้รีบถอนการติดตั้งแอปพลิเคชัน โดยเข้าไปที่ Settings > Security > Device administrators แล้วติ๊กเครื่องหมายถูกออกหลังแอปพลิเคชัน Google Service Framework เพื่อถอนการให้สิทธิ์ Device administration จากนั้นให้ถอนการติดตั้งแอปพลิเคชันนี้ตามขั้นตอนปกติ
แอปพลิเคชันปลอม (Google Service Framework) ที่ตั้งชื่อคล้ายคลึงกับแอปพลิเคชันจริง (Google Services Framework) หน้าจัดการสิทธิ์ Device administration ของแอปพลิเคชัน ทั้งนี้ ผู้ใช้งานควรติดตั้งแอปพลิเคชันจากแหล่งที่น่าเชื่อถือเท่านั้น เช่น Google Play Store แต่อย่างไรก็ตาม แม้จะเป็นแอปพลิเคชันที่อยู่ใน Google Play Store ก็ควรเพิ่มความระมัดระวังเป็นพิเศษ เนื่องจากเคยมีการพบแอปพลิเคชันปลอมใน Google Play Store เมื่อเดือนมีนาคม 2557 [6] มาแล้ว ดังนั้น ผู้ใช้อาจตรวจสอบแอปพลิเคชันที่น่าสงสัยได้โดยวิธีการดังต่อไปนี้
- ตรวจสอบจากจำนวนดาวน์โหลด และรีวิวของผู้ใช้งาน โดยสังเกตแอปพลิเคชันที่มียอดดาวน์โหลดที่ต่ำหรือรีวิวของผู้ใช้งานที่แจ้งถึงความผิดปกติ
- ตรวจสอบการร้องขอสิทธิ์ (Permission) ของแอปพลิเคชันว่ามีความเหมาะสมหรือไม่ เช่นแอปพลิเคชันที่มีการขอสิทธิ์ในการส่ง SMS และ Internet access ควรพิจารณาว่ามีการร้องขอสิทธิ์ดังกล่าวเพื่อจุดประสงค์ใด
สำหรับผู้ดูแลระบบ ในขณะนี้อาจทำการปิดกั้นการเชื่อมต่อไปยังเว็บไซต์ http:// goo.gl/NPD8sd เพื่อป้องกันไม่ให้ผู้ใช้งานเข้าไปดาวน์โหลดแอปพลิเคชันนี้ และปิดกั้นการเชื่อมต่อกับหมายเลขไอพี 213.163.72.147 เพื่อป้องกันมัลแวร์นี้ติดต่อกลับไปยังผู้ไม่หวังดี ทั้งนี้ ไทยเซิร์ตกำลังอยู่ในระหว่างการตรวจสอบวิเคราะห์เพิ่มเติมถึงพฤติกรรมของมัลแวร์ดังกล่าว และจะนำข้อมูลมาอัปเดตให้ทราบอีกครั้ง
อ้างอิงhttps://www.virustotal.com/th/file/b48d61398e8a3f6e849bb3df73fd1a784c472c43026ab5451689cfdf6b9e53b7/analysis/1408635900/http://pantip.com/topic/32480183http://pantip.com/topic/32443108http://pantip.com/topic/32444404https://goo.gl/#analytics/goo.gl/NPD8sd/all_timehttps://www.thaicert.or.th/alerts/user/2014/al2014us008.htmlhttps://www.thaicert.or.th/papers/general/2011/pa2011ge010.htmlhttps://www.thaicert.or.th/papers/technical/2012/pa2012te003.htmlhttps://www.thaicert.or.th/papers/technical/2012/pa2012te011.htmlที่มา:
https://www.thaicert.or.th/alerts/user/2014/al2014us017.html