Clear
Lead Graphic Papers

ไทยเซิร์ตพบรูปแบบการฝังแอปพลิเคชันอันตรายลงในระบบ Google Adsense โจมตีผู้ใช้งาน Android

ผู้เขียน: เสฏฐวุฒิ แสนนาม
วันที่เผยแพร่: 7 สิงหาคม 2557
ปรับปรุงล่าสุด: 7 สิงหาคม 2557

Share on Facebook Share on Twitter Share on Google+

ในช่วงปลายเดือนกรกฎาคมที่ผ่านมา ทีมไทยเซิร์ตได้พบว่าเมื่อเข้าเว็บไซต์ในประเทศไทยหลายแห่งโดยใช้เบราว์เซอร์ในโทรศัพท์มือถือ Android (เช่น Chrome for Android) จะปรากฏ Popup ขึ้นมาเป็นภาษาที่อ่านไม่ออก และสามารถกดได้แค่ปุ่ม OK เพียงอย่างเดียว ดังรูปที่ 1 และ 2 ซึ่งตัวอย่าง Popup ดังกล่าวมาจากเว็บไซต์ mt.moneyandroid.com


รูปที่ 1 ตัวอย่างหน้าจอ Popup ให้ดาวน์โหลดโปรแกรม Flash Player


รูปที่ 2 ตัวอย่างหน้าจอ Popup ให้ดาวน์โหลดโปรแกรม SnapPea

ไม่ว่าผู้ใช้จะกดปุ่ม OK หรือกดปุ่ม Back ที่ตัวเครื่อง ก็จะถูกเปลี่ยนเส้นทาง (Redirect) ไปยังเว็บไซต์ mt.moneyandroid.com เพื่อให้ดาวน์โหลดไฟล์ .apk ซึ่งเป็นแอปพลิเคชันของ Android มาติดตั้ง ดังรูปที่ 3 ในบางรายพบว่าถูก Redirect ไปยังหน้าเว็บไซต์ที่ให้กรอกหมายเลขโทรศัพท์มือถือเพื่อให้สมัครใช้บริการรับข่าวสารผ่าน SMS เป็นรายสัปดาห์ ซึ่งจะมีการคิดค่าส่ง SMS ในราคาที่สูง


รูปที่ 3 ตัวอย่างหน้าจอที่ให้ดาวน์โหลดไฟล์ .apk

เมื่อตรวจสอบข้อมูลของแอปพลิเคชันที่ดาวน์โหลดได้จากเว็บไซต์ดังกล่าว พบว่ามีการร้องขอสิทธิ์ (Permission) ที่น่าสงสัยเป็นจำนวนมาก เช่น อ่านหรือส่ง SMS ถ่ายภาพ ถ่ายวิดีโอ อ่านข้อมูลใน SD Card เพิ่ม/ลบ Account ในเครื่อง เพิ่มหรือลบโปรแกรมในเครื่อง รวมถึงแก้ไขการตั้งค่าระบบ เป็นต้น ดังรูปที่ 4


รูปที่ 4 ตัวอย่างสิทธิ์ที่แอป SnapPea ร้องขอ

อย่างไรก็ตาม ข้อความ Popup ไม่ได้ปรากฎขึ้นมาทุกครั้งที่ผู้ใช้งานเข้าเยี่ยมชมเว็บไซต์ที่กล่าวถึงข้างต้น แต่จะแสดงขึ้นมาเป็นแบบสุ่ม และจากการสุ่มตรวจสอบไทยเซิร์ตพบว่ามีเว็บไซต์ที่ได้รับผลกระทบทั้งในประเทศไทยและต่างประเทศ

วิเคราะห์สาเหตุ

จากการวิเคราะห์พบว่า Popup ดังกล่าวมาจากโฆษณาที่แสดงใน Google Adsense ซึ่งเป็นระบบโฆษณาที่ Google เปิดให้ผู้พัฒนาเว็บไซต์สามารถนำโค้ดของ Adsense ไปแปะในหน้าเว็บไซต์เพื่อให้ Google จ่ายเงินให้ตามจำนวนผู้เข้าชมโฆษณา ซึ่งระบบการแสดงผลโฆษณาของ Google Adsense สามารถตั้งค่าให้แสดงโฆษณาได้ 3 รูปแบบคือ Image, Text และ Rich Media หากเลือกแบบ Rich Media ผู้ลงโฆษณาสามารถใส่สคริปต์พิเศษเข้าไปในโฆษณาได้ (เช่น JavaScript หรือ HTML tag) จึงเป็นช่องทางให้สามารถเลือกใส่สคริปต์ไม่ประสงค์ดีลงไปในตัวโฆษณาได้ ดังตัวอย่างโฆษณาตาม URL ด้านล่างนี้

http://tpc.googlesyndication.com/pagead/imgad?id=CK_15cq1rp2CjQEQrAIY-gEyCE5LGqBP9143SAQ&isRtbCreative=True

เมื่อเปิด URL ดังกล่าวผ่านเบราว์เซอร์ของเครื่องคอมพิวเตอร์ จะปรากฎเป็นรูปภาพธรรมดา ดังรูปที่ 5


รูปที่ 5 โฆษณาแสดงผลเป็นรูปภาพเมื่อเปิดดูด้วยเบราว์เซอร์ของเครื่องคอมพิวเตอร์

แต่เมื่อเปิด URL เดียวกันนี้โดยใช้เบราว์เซอร์ในโทรศัพท์มือถือ Android จะพบ Popup ขึ้นมา และถูกบังคับให้ไปยังหน้าเว็บไซต์อื่นเพื่อดาวน์โหลดแอปพลิเคชันชื่อ SnapPea ดังรูปที่ 6 ซึ่งในรูปดังกล่าวทางทีมไทยเซิร์ตได้ตั้งค่าโปรแกรม Google Chrome ให้จำลองตัวเองว่าเป็นเบราว์เซอร์ของโทรศัพท์มือถือ Android เพื่อตรวจสอบพฤติกรรม


รูปที่ 6 โฆษณาไม่แสดงผล แต่จะมี Popup ปรากฎเมื่อเปิดดูด้วยเบราว์เซอร์ของโทรศัพท์มือถือ Android

เมื่อกดปุ่ม OK จะถูก Redirect ไปยังหน้าเว็บไซต์ mt.moneyandroid.com/topic/mobi/download.php ซึ่งจะแสดงผลเป็นหน้าจอว่างๆ และมีไฟล์ชื่อ Click_me_to_install_SnapPea_avazu_thai_snappea.apk ให้ดาวน์โหลด อย่างไรก็ตาม เมื่อตรวจสอบไฟล์ดังกล่าวกับเว็บไซต์ Virustotal ยังไม่พบว่ามีอันตราย [1]

ซอร์สโค้ดของหน้าเว็บไซต์ดังกล่าวเป็นดังรูปที่ 7 (ดูซอร์สโค้ดได้ที่เว็บไซต์ Pastebin) [2] ซึ่งจะเป็นการ Redirect ไปยังลิงก์สำหรับดาวน์โหลดไฟล์ .apk ดังกล่าว


รูปที่ 7 ซอร์สโค้ดของเว็บไซต์ที่ให้ดาวน์โหลดไฟล์ .apk

การโจมตีผ่าน Google Adsense

ผู้ไม่หวังดีลงโฆษณากับ Google Adsense โดยฝังโค้ดที่เป็น JavaScript ไว้ (ดูซอร์สโค้ดได้ที่เว็บไซต์ Pastebin) [3] เมื่อเบราว์เซอร์รันสคริปต์จากโค้ดดังกล่าว จะไปโหลดสคริปต์ตัวถัดมาซึ่งเป็น iframe ที่มองไม่เห็นและเป็นสคริปต์สำหรับ Redirect ไปยังเว็บไซต์ปลายทางที่ผู้ไม่หวังดีต้องการ (ดูซอร์สโค้ดได้ที่เว็บไซต์ Pastebin) [4]

เทคนิคการโจมตีผ่าน Google Adsense นี้ไม่ใช่รูปแบบใหม่ เพราะก่อนหน้านี้เคยเกิดเหตุเช่นเดียวกันนี้มาแล้วหลายครั้ง เช่น การฝังสคริปต์ให้ Redirect ไปยังหน้าดาวน์โหลด Java หรือ Flash Player ปลอม [5] เพื่อหลอกผู้ใช้ Windows

แต่ในกรณีล่าสุดที่ทางไทยเซิร์ตตรวจพบนี้ เป็นการโจมตี Google Adsense โดยมีเป้าหมายที่ผู้ใช้งานระบบปฏิบัติการ Android โดยเฉพาะ ซึ่งถึงแม้ว่าแอปพลิเคชัน SnapPea ที่ผู้ใช้ถูกบังคับให้ดาวน์โหลดไปติดตั้งนั้น เมื่อลองสแกนผ่านเว็บไซต์ Virustotal จะไม่พบว่ามีความอันตรายก็ตาม แต่เนื่องจากแอปพลิเคชันดังกล่าวมีการขอ Permission ที่มีโอกาสสร้างความเสียหายต่อระบบได้ จึงไม่สมควรที่จะติดตั้งลงในเครื่อง

นอกจากนี้ ยังไม่มีอะไรรับประกันได้ว่าผู้ที่ลงโฆษณาด้วยวิธีการเช่นนี้จะไม่เปลี่ยนจากแอปพลิเคชัน SnapPea เป็นไฟล์มัลแวร์โดยตรง หรือพาไปยังเว็บไซต์หลอกลวงเช่น Phishing ต่อไปในอนาคต เพราะเป็นฟังก์ชันการทำงานที่สามารถทำได้อยู่แล้ว

เนื่องจาก Google Adsense เป็นระบบโฆษณาที่สร้างรายได้ให้กับผู้พัฒนาเว็บไซต์ จึงทำให้มีเว็บไซต์หลายแห่งนำ Adsense ไปติดในเว็บไซต์ของตนเองเพื่อที่จะมีรายได้จากจำนวนผู้เข้าเยี่ยมชม ดังนั้นถึงแม้ว่าผู้ใช้งานระบบปฏิบัติการ Android จะไม่ได้เข้าไปยังเว็บไซต์ที่มีความเสี่ยง เช่น เว็บไซต์ลามก หรือเว็บไซต์ใต้ดิน เพียงแค่เข้าเยี่ยมชมเว็บไซต์ทั่วๆ ไปก็มีโอกาสเสี่ยงที่จะถูกโจมตีด้วยวิธีนี้ได้

สิ่งที่ไทยเซิร์ตได้ดำเนินการ

ทางไทยเซิร์ตได้แจ้งข้อมูลปัญหาที่พบไปยังทีมงาน Google Adsense เพื่อขอให้ช่วยตรวจสอบยืนยันแล้ว แต่ในขณะนี้ยังไม่มีข้อมูลที่ชัดเจนว่ามีผู้ลงโฆษณารายอื่นที่ใช้วิธีแบบเดียวกันนี้ในการหลอกลวงผู้ใช้หรือไม่

ข้อแนะนำในการป้องกันตนเอง

1. ไทยเซิร์ตขอแนะนำให้ผู้พัฒนาเว็บไซต์ที่ใช้งาน Google Adsense ควรหมั่นตรวจสอบเว็บไซต์ของท่านโดยทดลองเข้าใช้งานผ่านอุปกรณ์ที่ใช้งานระบบปฏิบัติการ Android/iOS หรือตั้งค่าเบราว์เซอร์ให้แสดง User-Agent เป็นโทรศัพท์มือถือ/แท็บเล็ต เพื่อหาความผิดปกติ [6]

2. สำหรับผู้ใช้ทั่วไป หากพบ Popup ลักษณะนี้ และมีไฟล์ .apk ให้ดาวน์โหลด ไม่ควรดาวน์โหลดหรือติดตั้งแอปพลิเคชันนั้น ควรติดตั้งแอปพลิเคชันจาก Play Store เท่านั้น และนอกจากนี้ไม่ควรเปิดให้มีการอนุญาตให้ติดตั้งแอปพลิเคชันจากแหล่งที่มาที่ไม่รู้จัก (Unknown source)

3. หากพบว่าภายหลังจากเข้าใช้งานเว็บไซต์แล้วถูก Redirect ไปยังหน้าเว็บไซต์ที่ให้กรอกข้อมูลส่วนตัว เช่น หมายเลขโทรศัพท์ ฯลฯ ควรระมัดระวังตรวจสอบข้อความที่ปรากฎในหน้าเว็บไซต์เหล่านั้นก่อนกรอกข้อมูล เช่น เป็นการสมัครสมาชิกรับข่าวสารผ่าน SMS หรือเป็นบริการที่ต้องเสียเงินหรือไม่

อ้างอิง

  1. https://www.virustotal.com/en/file/c24efe41af8f59758b278a5c2d682da9a8459245b44e78c1feff5929332bf8d7/analysis/
  2. http://pastebin.com/Qi1ZcumE
  3. http://pastebin.com/6Kj9Kcxp
  4. http://pastebin.com/ba2MiVH2
  5. http://samsclass.info/126/proj/revmagdalen.htm
  6. https://developer.chrome.com/devtools/docs/mobile-emulation
Clear