Clear
Lead Graphic Papers

ระวังภัย มัลแวร์ใน Android (แจ้ง.apk, รับทราบ.apk) แพร่กระจายด้วยการส่ง SMS

วันที่ประกาศ: 13 สิงหาคม 2557
ปรับปรุงล่าสุด: 26 สิงหาคม 2557
เรื่อง: ระวังภัย มัลแวร์ใน Android (แจ้ง.apk, รับทราบ.apk) แพร่กระจายด้วยการส่ง SMS

ประเภทภัยคุกคาม: Malicious Code

Share on Facebook Share on Twitter Share on Facebook

ปรับปรุงข้อมูลล่าสุด

วันที่ 26 สิงหาคม 2557 ไทยเซิร์ตได้รับแจ้งข้อมูลอีกครั้ง ถึงการเปลี่ยนลิงก์ที่ใช้เผยแพร่ไฟล์มัลแวร์ (แจ้ง.apk) มาเป็น http://goo.gl/lNFLXN อย่างไรก็ตามจากการประสานงานแก้ไขปัญหาและตรวจสอบล่าสุดพบว่าลิงก์ทั้งหมดที่เกี่ยวข้องกับกรณีนี้ถูกปิดกั้นการเข้าถึงแล้ว รวมถึงในวันนี้ทางบริษัท AIS ได้พัฒนาแอปพลิเคชันสำหรับอำนวยความสะดวกให้ผู้ใช้งานได้ตรวจสอบและถอนการติดตั้งของมัลแวร์ตัวดังกล่าวบนระบบปฏิบัติการณ์ Android โดยใช้ชื่อแอปพลิเคชันว่า “AIS Malware Remover” ผู้ใช้งานสามารถดาวน์โหลดได้แล้วที่ Google Play โดยมีตัวอย่างการใช้งานตามรูปด้านล่าง

รูปตัวอย่างแอปพลิเคชัน “AIS Malware Remover” ที่หน้าแรก กรณีที่มัลแวร์ถูกติดตั้งอยู่

รูปตัวอย่างการทำงานของแอปพลิเคชันในขั้นตอนที่ 1 (ยกเลิกการให้สิทธิ Device administration)

รูปตัวอย่างการทำงานของแอปพลิเคชันในขั้นตอนที่ 2 (ถอนการติดตั้งแอปพลิเคชันมัลแวร์)

วันที่ 23 สิงหาคม 2557 ไทยเซิร์ตได้รับแจ้งข้อมูลอีกครั้ง ถึงการเปลี่ยนลิงก์ที่ใช้เผยแพร่ไฟล์มัลแวร์ (รับทราบ.apk) มาเป็น http://goo.gl/AjT773 อย่างไรก็ตามจากการตรวจสอบล่าสุดพบว่าลิงก์ที่ได้รับแจ้งในวันที่ 22 สิงหาคม 2557 ได้ถูกปิดกั้นและไม่สามารถเข้าถึงได้แล้ว และหากผู้ใช้งานท่านใดพบลิงก์มัลแวร์ที่เปลี่ยนแปลงไป สามารถแจ้งเข้ามายังไทยเซิร์ตเพื่อให้ประสานปิดกั้นการเข้าถึงได้ทันที

วันที่ 22 สิงหาคม 2557 ไทยเซิร์ตได้รับแจ้งข้อมูลเพิ่มเติมว่าผู้ไม่ประสงค์ดีมีการเปลี่ยนลิงก์ที่ใช้เผยแพร่ไฟล์มัลแวร์มาเป็น http://goo.gl/q87XnM เนื่องจากลิงก์ที่พบในวันที่ 21 สิงหาคม 2557 นั้นถูกปิดกั้นและไม่สามารถเข้าถึงได้แล้ว โดยพบว่าเมื่อคลิกลิงก์ดังกล่าวจะมีการ Redirect ไปยังเว็บไซต์ Dropbox เพื่อดาวน์โหลดไฟล์มัลแวร์ชื่อ รับทราบ.apk มาติดตั้ง และเมื่อมีการนำไฟล์มัลแวร์ทั้งหมดมาทำการ Decompile พบว่าซอร์สโค้ดของไฟล์มัลแวร์ แจ้ง.apk (พบในวันที่ 13 สิงหาคม 2557) ไฟล์มัลแวร์ รับทราบ.apk (พบในวันที่ 21 สิงหาคม 2557) ไฟล์มัลแวร์ รับทราบ.apk (พบในวันที่ 22 สิงหาคม 2557) มีการทำงานเหมือนกันทุกประการ ซึ่งจากการวิเคราะห์เพิ่มเติมทำให้คาดเดาได้ว่าการเผยแพร่มัลแวร์ตัวดังกล่าวอาจมีเป้าหมายเพื่อโจมตีผู้ใช้งานระบบธุรกรรมออนไลน์ต่างๆ เช่น e-Banking ด้วยการขโมย SMS มาใช้ในการทำธุรกรรมออนไลน์ ตามที่เคยเกิดขึ้นมาแล้วในอดีต

วันที่ 21 สิงหาคม 2557 ไทยเซิร์ตได้รับข้อมูลเพิ่มเติมว่าผู้ไม่ประสงค์ดีทำการส่งข้อความ SMS ไปยังผู้ใช้งานกลุ่มหนึ่ง โดยมีความพยายามเปลี่ยนแปลงข้อความให้แตกต่างไปจากวันที่ 13 สิงหาคม 2557 ว่า รับทราบ.apk และหากผู้ใช้งานคลิกไปยังลิงก์ดังกล่าวจะพบหน้าเว็บไซต์ Dropbox ที่ให้ดาวน์โหลดไฟล์ชื่อ รับทราบ.apk [1] มาติดตั้ง โดยตรวจสอบเบื้องต้นพบว่าแฮชของไฟล์ รับทราบ.apk ไม่ตรงกับแฮชของไฟล์ แจ้ง.apk ที่พบวันที่ 13 สิงหาคม 2557 และเมื่อนำไฟล์มัลแวร์มาทำ การ Decompile เพื่อพิจารณาซอร์สโค้ดดู ทำให้สามารถยืนยันได้ว่าเป็นไฟล์มัลแวร์ตัวเดิม ที่มีฟังก์ชันการทำงานเหมือนเดิมทุกประการ โดยในความหมายของการทำให้ค่าแฮชของไฟล์มัลแวร์ไม่ตรงนั้น อาจหมายความว่าแฮกเกอร์ต้องการทำให้การตรวจสอบมัลแวร์เป็นไปได้ยากขึ้น เนื่องหากในกรณีดังกล่าวหากพบว่าไฟล์มัลแวร์มีค่าแฮชที่ตรงกัน ก็จะทำให้สามารถยืนยันได้ทันทีว่าเป็นมัลแวร์ตัวเดียวกัน

ข้อมูลทั่วไป

เมื่อวันที่ 13 สิงหาคม 2557 ไทยเซิร์ตได้รับรายงานว่ามีผู้ใช้งานโทรศัพท์มือถือระบบปฏิบัติการ Android ได้รับ SMS ข้อความ “(ชื่อผู้ติดต่อในโทรศัพท์), แจ้งให้ทราบการจัดส่งของคุณ http://goo.gl/NPD8sdb>” ซึ่งเมื่อเปิดลิงก์จะพาไปยังหน้าเว็บไซต์ Dropbox ซึ่งเป็นเว็บไซต์บริการรับฝากไฟล์ เพื่อดาวน์โหลดไฟล์ชื่อ แจ้ง.apk เมื่อติดตั้งแอปพลิเคชันจากไฟล์ .apk ดังกล่าวลงในเครื่องแล้ว แอปพลิเคชันนี้จะลักลอบส่ง SMS ออกไปยังหมายเลขโทรศัพท์อื่นๆ ที่ถูกบันทึกอยู่ในเครื่อง เพื่อแพร่กระจายมัลแวร์ไปยังผู้ใช้รายอื่น [2] [3] จากการตรวจสอบโดยไทยเซิร์ตพบว่า แอปพลิเคชันดังกล่าวมีลักษณะเป็นโปรแกรมไม่พึงประสงค์ ผู้ใช้งานโทรศัพท์มือถือระบบปฏิบัติการ Android ควรตรวจสอบ SMS ที่น่าสงสัยและหลีกเลี่ยงการดาวน์โหลดหรือติดตั้งแอปพลิเคชันดังกล่าว

จากการวิเคราะห์ไฟล์ .apk ไทยเซิร์ตพบว่าแอปพลิเคชันดังกล่าวมีการร้องขอสิทธิ์การทำงาน (Permission) ที่น่าสงสัย แ ซึ่งการขอสิทธิ์ในลักษณะนี้ แอปพลิเคชันสามารถขโมยข้อมูลหรือทำให้ผู้ที่ติดตั้งแอปพลิเคชันดังกล่าวเสียเงินค่าส่ง SMS เป็นจำนวนมากได้ นอกจากนี้ แอปพลิเคชันยังมีการร้องขอสิทธิ์ Device administration ในการล็อกหน้าจอ ซึ่งเป็นที่น่าสังเกตว่าการร้องขอสิทธิ์ดังกล่าวอาจมีจุดประสงค์ที่ไม่ดีอื่น ๆ อีกด้วย


รูปที่ 1 สิทธิ์ที่แอปพลิเคชันสามารถเข้าถึงได้


รูปที่ 2 การร้องขอสิทธิ์ Device administration เมื่อเปิดแอปพลิเคชัน

ผลกระทบ

  • ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวลงในเครื่องอาจถูกขโมยข้อมูลรายชื่อผู้ติดต่อหรือข้อมูลอื่นๆ
  • ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวลงในเครื่องอาจต้องเสียค่าบริการ SMS ที่แอปพลิเคชันดังกล่าวลักลอบแอบส่งข้อความเป็นจำนวนมาก


รูปที่ 3 สถิติการคลิกลิงก์ที่เผยแพร่มัลแวร์ จำแนกตามประเทศ เมื่อวันที่ 13 ส.ค. 2557 เวลา 12:41 น.

เมื่อตรวจสอบผลกระทบต่อผู้ใช้ในประเทศไทยจากสถิติของการคลิกลิงก์ที่เผยแพร่มัลแวร์ (http://goo.gl/NPD8sd) พบว่ามีการสร้างลิงก์ดังกล่าวตั้งแต่วันที่ 12 สิงหาคม โดยมีผู้ใช้ในประเทศไทยคลิกลิงก์นี้ถึง 19,056 ครั้ง [4]


รูปที่ 4 สถิติการคลิกลิงก์ที่เผยแพร่มัลแวร์ จำแนกตามเว็บเบราว์เซอร์และระบบปฏิบัติการ

จากสถิติข้างต้นพบว่ามีผู้ใช้งานที่เข้าถึง URL ดังกล่าวจากระบบปฏิบัติการ iOS เป็นจำนวนกว่า 9,288 ครั้ง ซึ่งผู้ใช้งานในกลุ่มนี้น่าจะไม่ได้รับผลกระทบเนื่องจากใช้งานคนละระบบปฏิบัติการกัน และนอกจากนี้ จากสถิติที่จำแนกตามระบบปฏิบัติการ ที่พบว่าเป็นระบบปฏิบัติการ Linux จำนวนกว่า 9,000 ครั้ง มีความเป็นไปได้ว่า ผู้ใช้เข้าถึง URL จากโทรศัพท์มือถือระบบปฏิบัติการ Android เนื่องจากเว็บเบราว์เซอร์ในระบบปฏิบัติการ Android มักจะแสดงตัวเป็นระบบปฏิบัติการ Linux

ระบบที่ได้รับผลกระทบ

ผู้ใช้งานโทรศัพท์มือถือหรืออุปกรณ์ที่ใช้ระบบปฏิบัติการ Android

ข้อแนะนำในการป้องกันและแก้ไข

เมื่อติดตั้งแอปพลิเคชันดังกล่าวลงในเครื่อง แอปพลิเคชันอันตรายนี้จะใช้ชื่อว่า Google Service Framework ซึ่งตั้งชื่อคล้ายคลึงกับแอปพลิเคชันจริงที่ชื่อว่า Google Services Framework (มี s ต่อท้าย Service) ดังนั้นสำหรับผู้ใช้งานที่ติดตั้งแอปพลิเคชันดังกล่าวไปแล้ว ให้รีบถอนการติดตั้งแอปพลิเคชัน โดยเข้าไปที่ Settings > Security > Device administrators แล้วติ๊กเครื่องหมายถูกออกหลังแอปพลิเคชัน Google Service Framework เพื่อถอนการให้สิทธิ์ Device administration จากนั้นให้ถอนการติดตั้งแอปพลิเคชันนี้ตามขั้นตอนปกติ


รูปที่ 5 แอปพลิเคชันปลอม (Google Service Framework) ที่ตั้งชื่อคล้ายคลึงกับแอปพลิเคชันจริง (Google Services Framework)


รูปที่ 6 หน้าจัดการสิทธิ์ Device administration ของแอปพลิเคชัน

ทั้งนี้ ผู้ใช้งานควรติดตั้งแอปพลิเคชันจากแหล่งที่น่าเชื่อถือเท่านั้น เช่น Google Play Store แต่อย่างไรก็ตาม แม้จะเป็นแอปพลิเคชันที่อยู่ใน Google Play Store ก็ควรเพิ่มความระมัดระวังเป็นพิเศษ เนื่องจากเคยมีการพบแอปพลิเคชันปลอมใน Google Play Store เมื่อเดือนมีนาคม 2557 [5] มาแล้ว ดังนั้น ผู้ใช้อาจตรวจสอบแอปพลิเคชันที่น่าสงสัยได้โดยวิธีการดังต่อไปนี้

  • ตรวจสอบจากจำนวนดาวน์โหลด และรีวิวของผู้ใช้งาน โดยสังเกตแอปพลิเคชันที่มียอดดาวน์โหลดที่ต่ำหรือรีวิวของผู้ใช้งานที่แจ้งถึงความผิดปกติ
  • ตรวจสอบการร้องขอสิทธิ์ (Permission) ของแอปพลิเคชันว่ามีความเหมาะสมหรือไม่ เช่นแอปพลิเคชันที่มีการขอสิทธิ์ในการส่ง SMS และ Internet access ควรพิจารณาว่ามีการร้องขอสิทธิ์ดังกล่าวเพื่อจุดประสงค์ใด

นอกจากนี้ผู้ใช้งานยังสามารถศึกษาบทความที่ไทยเซิร์ตได้เคยเผยแพร่ ถึงวิธีการตรวจสอบและป้องกันปัญหามัลแวร์ รวมถึงวิธีการใช้งานโทรศัพท์มือถือให้ปลอดภัย จากบทความดังต่อไปนี้

  • แนวทางการใช้งานโทรศัพท์มือถือให้ปลอดภัยจากภัยคุกคาม [6]
  • รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android [7]
  • รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android ตอนที่ 2 [8]

สำหรับผู้ดูแลระบบ ในขณะนี้อาจทำการปิดกั้นการเชื่อมต่อไปยังเว็บไซต์ http://goo.gl/NPD8sd เพื่อป้องกันไม่ให้ผู้ใช้งานเข้าไปดาวน์โหลดแอปพลิเคชันนี้ และปิดกั้นการเชื่อมต่อกับหมายเลขไอพี 213.163.72.147 เพื่อป้องกันมัลแวร์นี้ติดต่อกลับไปยังผู้ไม่ประสงค์ดี ทั้งนี้ ไทยเซิร์ตกำลังอยู่ในระหว่างการตรวจสอบวิเคราะห์เพิ่มเติมถึงพฤติกรรมของมัลแวร์ดังกล่าว และจะนำข้อมูลมาอัปเดตให้ทราบอีกครั้ง

อ้างอิง

  1. http://pantip.com/topic/32480183
  2. http://pantip.com/topic/32443108
  3. http://pantip.com/topic/32444404
  4. https://goo.gl/#analytics/goo.gl/NPD8sd/all_time
  5. https://www.thaicert.or.th/alerts/user/2014/al2014us008.html
  6. https://www.thaicert.or.th/papers/general/2011/pa2011ge010.html
  7. https://www.thaicert.or.th/papers/technical/2012/pa2012te003.html
  8. https://www.thaicert.or.th/papers/technical/2012/pa2012te011.html
Clear