Clear
Lead Graphic Papers

ระวังภัย พบมัลแวร์ WolfRAT โจมตีผู้ใช้ Android ในประเทศไทย สอดแนมการใช้ LINE, Facebook Messenger, และ WhatsApp

วันที่ประกาศ: 20 พฤษภาคม 2563
ปรับปรุงล่าสุด: 21 พฤษภาคม 2563
เรื่อง: ระวังภัย พบมัลแวร์ WolfRAT โจมตีผู้ใช้ Android ในประเทศไทย สอดแนมการใช้ LINE, Facebook Messenger, และ WhatsApp

ประเภทภัยคุกคาม: Malicious Code

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

เมื่อวันที่ 19 พฤษภาคม 2563 ทีมวิจัยจาก Cisco Talos ได้แจ้งเตือนการแพร่ระบาดของมัลแวร์ WolfRAT ใน Android โดยจุดประสงค์เพื่อสอดแนมและขโมยข้อมูลจากผู้ใช้ในประเทศไทย ตัวมัลแวร์มีความสามารถในการอ่าน SMS รายชื่อผู้ติดต่อ ประวัติการใช้งานเว็บไซต์ ประวัติการโทรศัพท์ รวมถึงสามารถบันทึกหน้าจอขณะที่มีการใช้งานโปรแกรมสนทนาที่ได้รับความนิยมในประเทศไทย คือ LINE, Facebook Messenger, และ WhatsApp ด้วย [1]

ทาง Cisco Talos คาดว่ามัลแวร์ WolfRAT ถูกพัฒนาโดยกลุ่มที่ชื่อ Wolf Research โดยเป็นการนำซอร์สโค้ดของมัลแวร์สายพันธุ์ DenDroid ที่หลุดออกมาก่อนหน้านี้มาใช้เป็นฐาน แล้วตัดแปะโค้ดจากมัลแวร์ตัวอื่น ๆ มาใส่เพื่อให้มีความสามารถเพิ่มมากขึ้น ตัวมัลแวร์เท่าที่ถูกค้นพบมี 4 เวอร์ชัน โดยเวอร์ชันแรกสุดพบการแพร่ระบาดเมื่อช่วงเดือนมิถุนายน 2562 ส่วนเวอร์ชันล่าสุดพบเมื่อเดือนเมษายน 2563 อย่างไรก็ตาม ในรายงานไม่ได้ระบุช่องทางหรือวิธีการแพร่กระจายที่ชัดเจน แต่จากรูปแบบการแพร่กระจายมัลแวร์ที่เคยพบก่อนหน้านี้ก็มีความเป็นไปได้สูงว่าเป็นการหลอกให้ผู้ใช้เข้าเว็บไซต์เพื่อดาวน์โหลดมัลแวร์มาติดตั้ง [2] ทั้งนี้ ในรายงานระบุว่าพบเว็บไซต์ของเครื่องที่ใช้สั่งการและควบคุมมัลแวร์ (Command and Control หรือ C2) โดยในหน้าเว็บไซต์ดังกล่าวมีโค้ดที่ถูกคอมเมนต์ภาษาไทย ดังรูปที่ 1 ซึ่งอาจเป็นไปได้ว่ามีคนไทยที่มีส่วนรู้เห็นกับการพัฒนามัลแวร์ดังกล่าว

รูปที่ 1 ตัวอย่างโค้ดภาษาไทยที่พบในเครื่อง C2

ผลกระทบ

หากเหยื่อหลงเชื่อและติดตั้งมัลแวร์ลงในเครื่อง อาจถูกขโมยข้อมูลการใช้งาน รวมถึงอาจถูกสอดแนมกิจกรรมที่ทำผ่านแอปพลิเคชัน LINE, Facebook Messenger, และ WhatsApp

ระบบที่ได้รับผลกระทบ

อุปกรณ์ที่ใช้งานระบบปฏิบัติการ Android

ข้อแนะนำในการตรวจสอบ

เนื่องจากตัวมัลแวร์ใช้วิธีตั้งชื่อแพ็คเกจและสร้างไอคอนของแอปพลิเคชันให้คล้ายคลึงกับแอปพลิเคชันที่มีการใช้งานทั่วไปหรือเป็นแอปพลิเคชันของระบบ ทำให้การตรวจสอบและสังเกตอาจทำได้ยาก อย่างไรก็ตาม ในระบบปฏิบัติการ Android เวอร์ชันใหม่ ๆ ยังมีการเพิ่มระบบ Google Play Protect ขึ้นมาเพื่อใช้ตรวจสอบมัลแวร์ในเครื่องได้ โดยผู้ใช้สามารถตรวจสอบได้โดยการเข้าไปที่ Play Store แล้วเลือกเมนู Play Protect เพื่อทำการสแกน [3]

ทั้งนี้ ผู้ดูแลระบบสามารถใช้ข้อมูล IoC (Indicator of Compromise) จากบทความของ Cisco Talos เพื่อตรวจสอบได้ว่ามีการเชื่อมต่อหรือดาวน์โหลดไฟล์มัลแวร์หรือไม่ ซึ่งหากพบข้อมูลดังกล่าวในเครือข่ายก็อาจเป็นไปได้ว่ามีผู้ใช้ในหน่วยงานที่ตกเป็นเหยื่อของมัลแวร์ดังกล่าว ทั้งนี้ ไทยเซิร์ตอยู่ระหว่างการประสานไปยังหน่วยงานที่เกี่ยวข้องเพื่อยับยั้งการเข้าถึงเซิร์ฟเวอร์ที่ถูกใช้ในการโจมตี

ข้อแนะนำในการป้องกันและแก้ไข

ความเสี่ยงจากการติดมัลแวร์ใน Android นั้นส่วนใหญ่มักเป็นการดาวน์โหลดและติดตั้งแอปพลิเคชันจากแหล่งที่มาภายนอก ดังนั้นการติดตั้งเฉพาะแอปพลิเคชันจาก Google Play Store หรือแหล่งที่มาที่น่าเชื่อถือนั้นจะมีความเสี่ยงน้อยกว่า

หากผู้ใช้พบว่าตกเป็นเหยื่อของมัลแวร์ WolfRAT ควรถอนการติดตั้งมัลแวร์ หรือหากเป็นไปได้อาจพิจารณา factory reset เพื่อล้างข้อมูลในอุปกรณ์ รวมถึงเปลี่ยนรหัสผ่านของบริการที่ใช้งานในโทรศัพท์มือถือ โดยเฉพาะ LINE, Facebook Messenger, และ WhatsApp

อ้างอิง

  1. https://blog.talosintelligence.com/2020/05/the-wolf-is-back.html
  2. https://www.virusbulletin.com/blog/2018/10/wolf-sheeps-clothing-undressed/
  3. https://support.google.com/googleplay/answer/2812853?hl=th
Clear