(http://upic.me/i/j6/trojan_th_21.jpg) (http://board.nickcs.com/go.php?http://upic.me/show/44137731)
แจ้งระวังโปรแกรมโทรจัน/สปายแวร์ คำเตือนจากธนาคารกสิกรไทย
ระวังภัย มัลแวร์ใน Android หลอกขโมยเงินจากธนาคาร
วันที่ประกาศ: 8 มีนาคม 2556
ปรับปรุงล่าสุด: 8 มีนาคม 2556
เรื่อง: ระวังภัย มัลแวร์ใน Android หลอกขโมยเงินจากธนาคาร
ประเภทภัยคุกคาม: Malicious Code
ข้อมูลทั่วไป
จากที่มีการเผยแพร่ข้อมูลในงาน CDIC2013 ที่จัดขึ้นเมื่อวันที่ 27 - 28 กุมภาพันธ์ 2556 เรื่องมัลแวร์ในระบบปฏิบัติการ Android หลอกขโมยเงินจากธนาคาร [1] ทางไทยเซิร์ตได้ตรวจสอบเว็บไซต์ที่เผยแพร่มัลแวร์และได้ทำการวิเคราะห์มัลแวร์ดังกล่าว ได้ผลสรุปดังนี้
ในการโจมตี ผู้ไม่หวังดีได้ส่ง SMS มายังโทรศัพท์มือถือของเหยื่อ ข้อความใน SMS ระบุลิงก์สำหรับดาวน์โหลดไฟล์ .apk ซึ่งเป็นแอปพลิเคชั่นของระบบปฏิบัติการ Android โดยลิงก์ที่ให้ดาวน์โหลดไฟล์ดังกล่าวคือ [2] [3]
http://scb.<สงวนข้อมูล>.info/scbeasy.apk
File Name: scbeasy.apk
File size: 235093 bytes
MD5: 1108B16034254CA989B84A48E8E03D78
SHA1: D504E50CB4560B7E8AF3E9D868975D3A83E8EEB3
http://kasikorn.<สงวนข้อมูล>.info/ibanking.apk
File Name: ibanking.apk
File size: 266157 bytes
MD5: 06806E271792E7E521B28AD713601F2E
SHA1: 76CE639C5FFEA7B25455A219011B28E36A6458E6
หากผู้ใช้เข้าไปยังหน้าแรกของเว็บไซต์ที่เผยแพร่มัลแวร์โดยไม่ระบุพาธของไฟล์ .apk จะพบว่าหน้าเว็บไซต์ดังกล่าว Redirect ไปยังหน้าเว็บไซต์จริงของธนาคาร ซึ่งผู้ไม่หวังดีใช้วิธีนี้ในการหลอกลวงเหยื่อให้เชื่อว่าเว็บไซต์ดังกล่าวนี้เป็นเว็บไซต์จริงของธนาคาร
ทีมไทยเซิร์ตได้ตรวจสอบข้อมูลที่อยู่ในไฟล์ .apk ทั้งสองไฟล์ พบว่ามีโครงสร้างภายในเหมือนกัน ดังรูปที่ 1 โดยมีส่วนที่แตกต่างคือไฟล์กราฟฟิกที่อยู่ในไดเรกทอรี drawable จะเป็นโลโก้ของธนาคารที่ถูกผู้ไม่หวังดีแอบอ้าง
(http://upic.me/i/km/al2013us004-11.jpg) (http://board.nickcs.com/go.php?http://upic.me/show/44137810)
รูปที่ 1 เปรียบเทียบโครงสร้างของไฟล์ ibanking.apk และ scbeasy.apk
เมื่อตรวจสอบข้อมูลในไฟล์ AndroidManifest.xml ของทั้งสองไฟล์ พบว่าใช้ชื่อ package เหมือนกันคือ "com.fake.site" ดังรูปที่ 2
(http://upic.me/i/j3/al2013us004-21.jpg) (http://board.nickcs.com/go.php?http://upic.me/show/44137813)
รูปที่ 2 ข้อมูลในไฟล์ AndroidManifest.xml
ไฟล์ AndroidManifest.xml เป็นไฟล์ที่ใช้กำหนดคุณสมบัติของแอปพลิเคชัน รวมถึงกำหนดสิทธิ (Permission) ที่แอปพลิเคชันนั้นสามารถเข้าถึงได้ [4] ซึ่งจากข้อมูลดังกล่าว พบว่าทั้งสองแอปพลิเคชั่นมีความสามารถในการเขียนข้อมูลลงใน External storage (เช่น SD Card) และรับส่ง SMS อย่างไรก็ตาม ทั้งสองแอปพลิเคชันนี้ไม่สามารถเชื่อมต่ออินเทอร์เน็ตได้
เมื่อตรวจสอบโค้ดของทั้งสองแอปพลิเคชั่น พบว่ามีฟังก์ชันในการส่ง SMS ไปยังหมายเลขโทรศัพท์ที่อยู่ในประเทศรัสเซีย ดังรูปที่ 3
(http://upic.me/i/g0/al2013us004-31.jpg) (http://board.nickcs.com/go.php?http://upic.me/show/44137817)
รูปที่ 3 หมายเลขโทรศัพท์ที่จะส่ง SMS ไป
และพบ String ที่เป็นรหัส Unicode ซึ่งสามารถแปลงกลับได้เป็นข้อความภาษาไทยว่า “รหัสผ่านไม่ตรงกัน” ดังรูปที่ 4
(http://upic.me/i/un/al2013us004-41.jpg) (http://board.nickcs.com/go.php?http://upic.me/show/44137820)
รูปที่ 4 String ที่พบในแอปพลิเคชัน
เมื่อทดลองติดตั้งทั้งสองแอปพลิเคชันลงในโปรแกรม Android emulator พบไอคอนของแอปพลิเคชันที่ชื่อ certificate ดังรูปที่ 5
(http://upic.me/i/kz/al2013us004-51.jpg) (http://board.nickcs.com/go.php?http://upic.me/show/44137822)
รูปที่ 5 ไอคอนของแอปพลิเคชันที่ถูกติดตั้ง
เมื่อเปิดเข้าไปยังแอปพลิเคชันดังกล่าว จะพบหน้าจอให้ใส่รหัสผ่านสำหรับเข้าใช้งานบัญชีธนาคารออนไลน์ ดังรูปที่ 6 หากใส่รหัสผ่านทั้งสองช่องไม่ตรงกัน จะปรากฎข้อความว่า “รหัสผ่านไม่ตรงกัน”
(http://upic.me/i/iw/al2013us004-61.jpg) (http://board.nickcs.com/go.php?http://upic.me/show/44137823)
รูปที่ 6 ตัวอย่างหน้าจอแอปพลิเคชันปลอมของธนาคารออนไลน์
เมื่อป้อนรหัสผ่านและกดปุ่ม “ต่อ” จะพบหน้าจอดังรูปที่ 7
(http://upic.me/i/sv/al2013us004-71.jpg) (http://board.nickcs.com/go.php?http://upic.me/show/44137825)
รูปที่ 7 ตัวอย่างหน้าจอหลังกรอกข้อมูลรหัสผ่าน
จากการใช้คำสั่ง logcat [5] เพื่อบันทึก Log ของสิ่งที่เกิดขึ้นในระบบ พบว่ามีการส่ง SMS ออกไปยังหมายเลขโทรศัพท์ตามที่ปรากฏอยู่ในโค้ดของแอปพลิเคชัน ดังรูปที่ 8
(http://upic.me/i/uz/al2013us004-81.jpg) (http://board.nickcs.com/go.php?http://upic.me/show/44137834)
รูปที่ 8 Log แสดงการส่ง SMS
ผลกระทบ
ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวอาจถูกหลอกให้กรอกข้อมูลที่เกี่ยวข้องกับบัญชีธนาคารออนไลน์ แล้วถูกผู้ไม่หวังดีขโมยบัญชีผู้ใช้ ซึ่งอาจนำไปสู่การขโมยเงินจากธนาคารในภายหลังได้
ระบบที่ได้รับผลกระทบ
ระบบปฏิบัติการ Android ที่ติดตั้งแอปพลิเคชันปลอมของธนาคารออนไลน์
ข้อแนะนำในการป้องกันและแก้ไข
จะเห็นได้ว่า การโจมตีดังกล่าวนี้เกิดจากการที่ผู้ไม่หวังดีหลอกให้ผู้ใช้ติดตั้งแอปพลิเคชันหลอกลวงที่อ้างว่าสามารถเข้าใช้งานบัญชีธนาคารออนไลน์ได้ โดยแหล่งที่มาของแอปพลิเคชันนั้นไม่ได้มาจากเว็บไซต์จริงของธนาคาร และเป็นการติดตั้งแอปพลิเคชันจากแหล่งซอฟต์แวร์ภายนอกที่ไม่ใช่ Google Play Store
การป้องกันตัวไม่ให้ตกเป็นเหยื่อจากจากการโจมตีด้วยวิธีดังกล่าว ผู้ใช้งานควรพิจารณาแอปพลิเคชันที่จะติดตั้งลงในโทรศัพท์มือถืออย่างรอบคอบ ไม่ควรติดตั้งแอปพลิเคชันที่มีแหล่งที่มาไม่น่าเชื่อถือ รวมถึงตรวจสอบการร้องขอสิทธิ (Permission) ของแอปพลิเคชันนั้นๆ ว่ามีความเหมาะสมหรือไม่
อย่างไรก็ตาม ปัญหามัลแวร์ในระบบปฏิบัติการ Android ไม่ใช่เรื่องใหม่ ทางไทยเซิร์ตได้เคยนำเสนอวิธีการตรวจสอบและป้องกันปัญหามัลแวร์ รวมถึงวิธีการใช้งานโทรศัพท์มือถือให้ปลอดภัย ผู้อ่านสามารถศึกษาเพิ่มเติมได้จากบทความ
แนวทางการใช้งานโทรศัพท์มือถือให้ปลอดภัยจากภัยคุกคาม [6]
รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android [7]
รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android ตอนที่ 2 [8]
อ้างอิง
http://www.acisonline.net/
https://twitter.com/PrinyaACIS/status/307711776873668608
https://www.scbeasy.com/v1.4/site/presignon/mtrl/File/SCB%20Easy%20Net_%20Ex.Phishing%20SMS.pdf
http://docs.xamarin.com/guides/android/advanced_topics/working_with_androidmanifest.xml
http://developer.android.com/tools/help/logcat.html
http://www.thaicert.or.th/papers/general/2011/pa2011ge010.html
http://www.thaicert.or.th/papers/technical/2012/pa2012te003.html
http://www.thaicert.or.th/papers/technical/2012/pa2012te011.html
ที่มา: http://www.thaicert.or.th/alerts/user/2013/al2013us004.html, http://www.kasikornbank.com/th/whathot/pages/Phishing_Kcyber.aspx