>> ยินดีต้อนรับเข้าสู่ Blogger BIT1221 พื้นฐานคอมพิวเตอร์และเทคโนโลยี สาเทคโนโลยีสารสนเทศทางธุรกิจ<<

วันพฤหัสบดีที่ 1 สิงหาคม พ.ศ. 2556

ระวังภัย มัลแวร์ใน Android ในรูปแบบของแอนตี้ไวรัส AVG ปลอม

          ไทยเซิร์ตได้รับรายงานมัลแวร์ที่ทำงานบนระบบปฏิบัติการ Android เผยแพร่อยู่บนอินเทอร์เน็ต ในการโจมตีผู้ไม่ประสงค์ดีจะหลอกผู้ใช้งานอินเทอร์เน็ตให้เปิดหน้าเว็บไซต์ ธนาคารปลอม ซึ่งในหน้าเว็บไซต์ดังกล่าวจะมีการปรับแต่งให้เสมือนว่าเป็นหน้าของเว็บไซต์ จริงทั้งหมด รวมถึงมีการแจ้งเตือนให้ผู้ใช้งานดาวโหลดแอปพลิเคชันแอนตี้ไวรัสที่ชื่อว่า AVG ได้ฟรี โดยแอปพลิเคชันดังกล่าวเป็นแอปพลิเคชันปลอมที่ผู้ไม่ประสงค์ดีสร้างขึ้นมา เลียนแบบแอปพลิเคชันแอนตี้ไวรัสของ AVG และมีวัตถุประสงค์เพื่อขโมยข้อมูล SMS บนโทรศัพท์มือถือของผู้ใช้งานที่ติดตั้งแอปพลิเคชันดังกล่าว http://avg.<สงวนข้อมูล>.mobi/avg.apk File Name: avg.apk File size: 279,115 bytes MD5: d232f20d95f97147c36ec246c8a140a6 SHA1: 9b165adf118e957ecc50c063ca5bd0013cb9fe2a ทีมไทยเซิร์ตได้ตรวจสอบข้อมูลต่างๆของแอปพลิเคชันที่อยู่ในไฟล์ .apk โดยวิธีการ Reverse Engineering พบว่ามีโครงสร้างซอร์สโค้ด ดังรูปที่ 1 รูปที่ 1 แสดงโครงสร้างของไฟล์ avg.apk ไฟล์ AndroidManifest.xml เป็นไฟล์ที่ใช้กำหนดคุณสมบัติของแอปพลิเคชัน รวมถึงกำหนดสิทธิ (Permission) ที่แอปพลิเคชันนั้นสามารถเข้าถึงได้ ซึ่งพบว่าแอปพลิเคชั่นดังกล่าวมีความสามารถในการอ่าน เขียน และส่ง SMS อย่างไรก็ตาม ไม่พบว่าแอปพลิเคชันนี้มีสิทธิในการเชื่อมต่ออินเทอร์เน็ตได้ ดังรูปที่ 2 รูปที่ 2 ข้อมูลจากไฟล์ AndroidManifest.xm เมื่อตรวจสอบซอร์สโค้ดของแอปพลิเคชั่น พบว่ามีฟังก์ชันในการส่ง ...



ไทยเซิร์ตได้รับรายงานมัลแวร์ที่ทำงานบนระบบปฏิบัติการ  เผยแพร่อยู่บนอินเทอร์เน็ต ในการโจมตีผู้ไม่ประสงค์ดีจะหลอกผู้ใช้งานอินเทอร์เน็ตให้เปิดหน้าเว็บไซต์ ธนาคารปลอม ซึ่งในหน้าเว็บไซต์ดังกล่าวจะมีการปรับแต่งให้เสมือนว่าเป็นหน้าของเว็บไซต์ จริงทั้งหมด รวมถึงมีการแจ้งเตือนให้ผู้ใช้งานดาวโหลดแอปพลิเคชันแอนตี้ไวรัสที่ชื่อว่า AVG ได้ฟรี โดยแอปพลิเคชันดังกล่าวเป็นแอปพลิเคชันปลอมที่ผู้ไม่ประสงค์ดีสร้างขึ้นมา เลียนแบบแอปพลิเคชันแอนตี้ไวรัสของ AVG และมีวัตถุประสงค์เพื่อขโมยข้อมูล SMS บนโทรศัพท์มือถือของผู้ใช้งานที่ติดตั้งแอปพลิเคชันดังกล่าว
  • http://avg.<สงวนข้อมูล>.mobi/avg.apk
    • File Name: avg.apk
    • File size: 279,115 bytes
    • MD5: d232f20d95f97147c36ec246c8a140a6
    • SHA1: 9b165adf118e957ecc50c063ca5bd0013cb9fe2a
ทีมไทยเซิร์ตได้ตรวจสอบข้อมูลต่างๆของแอปพลิเคชันที่อยู่ในไฟล์ .apk โดยวิธีการ Reverse Engineering พบว่ามีโครงสร้างซอร์สโค้ด ดังรูปที่ 1


รูปที่ 1 แสดงโครงสร้างของไฟล์ avg.apk
ไฟล์ AndroidManifest.xml เป็นไฟล์ที่ใช้กำหนดคุณสมบัติของแอปพลิเคชัน รวมถึงกำหนดสิทธิ (Permission) ที่แอปพลิเคชันนั้นสามารถเข้าถึงได้ ซึ่งพบว่าแอปพลิเคชั่นดังกล่าวมีความสามารถในการอ่าน เขียน และส่ง SMS อย่างไรก็ตาม ไม่พบว่าแอปพลิเคชันนี้มีสิทธิในการเชื่อมต่ออินเทอร์เน็ตได้ ดังรูปที่ 2


รูปที่ 2 ข้อมูลจากไฟล์ AndroidManifest.xm
เมื่อตรวจสอบซอร์สโค้ดของแอปพลิเคชั่น พบว่ามีฟังก์ชันในการส่ง SMS ไปยังหมายเลขโทรศัพท์ที่อยู่ในประเทศอังกฤษ (+447624803598) ดังรูปที่ 3
รูปที่ 3 แสดงฟังก์ชั่นที่แสดงให้เห็นว่ามีการตั้งค่าและมีการส่ง SMS ไปยังหมายเลข +447624803598
เมื่อทดลองติดตั้งแอปพลิเคชันลงในโปรแกรมโทรศัพท์มือถือที่ใช้งานระบบ ปฏิบัติการ Android พบไอคอนของแอปพลิเคชันที่ชื่อ  ดังรูปที่ 4
รูปที่ 4 ไอคอนของแอปพลิเคชันที่ถูกติดตั้ง


เมื่อเปิดเข้าไปยังแอปพลิเคชันดังกล่าว จะพบหน้าจอเป็นรูปโลโก้แอนตี้ไวรัส และมีลักษณะเป็นช่องกรอกข้อมูลพร้อมหมายเลขรายละเอียด “777390927″ แต่จากการตรวจสอบพบว่าเป็นเพียงรูปโลโก้และไม่สามารถแก้ไขข้อมูลหรือทำอะไร ได้ เมื่อทดสอบกดที่ปุ่ม OK พบว่าแอปพลิเคชันจะปิดตัวลงโดยอัตโนมัติ รวมถึงจากการวิเคราะห์ซอร์สโค้ดร่วมกับการทดสอบจริงพบว่ามีการซ่อนไอคอนของ แอปพลิเคชันภายหลังจากการรีบูตหรือปิดเครื่อง ซึ่งจุดประสงค์คาดว่าต้องการอำพรางการทำงานของแอปพลิเคชันดังกล่าว
รูปที่ 5 ตัวอย่างหน้าจอแอปพลิเคชันปลอมของแอนตี้ไวรัส
จากการตรวจสอบเพิ่มเติม ทางไทยเซิร์ตพบความสามารถในการสั่งการและตอบสนองการสั่งการจากเครื่องที่ เป็น C&C (Command & Control) โดยทำผ่าน SMS ตัวอย่างหน้าจอการโต้ตอบกับ C&C เป็นดังรูปที่ 6 ซึ่งสามารถอธิบายการทำงานได้ดังนี้
  1. เครื่องที่เป็น C&C คือเครื่อง iPhone มีหมายเลขโทรศัพท์คือ +66819xxxxxx
  2. เครื่องที่ตกเป็นเหยื่อ คือเครื่อง Android มีหมายเลขโทรศัพท์คือ 083xxxxxxx
  3. เครื่อง C&C ส่ง SMS ไปที่เครื่องเหยื่อ โดยมีข้อความว่า “set admin +66819xxxxxx” เพื่อกำหนดให้เครื่องของเหยื่อรับคำสั่งจากเครื่องที่มีหมายเลขโทรศัพท์ +66819xxxxxx
  4. เครื่องของเหยื่อตอบกลับมาด้วยข้อความ “yes we are”
  5. เครื่อง C&C ส่งคำสั่ง “On” ไปเพื่อบอกว่า ให้เครื่องของเหยื่อส่งต่อ SMS ทุกอย่างที่ได้รับมาที่เครื่องของ C&C
  6. หลังจากที่เครื่องของเหยื่อได้รับคำสั่ง จะส่ง SMS ตอบกลับมาว่า “Oh ok”
  7. หลังจากนั้น ไม่ว่าจะมี SMS อะไรส่งเข้ามาที่เครื่องของเหยื่อ SMS นั้นจะถูกส่งต่อมาที่เครื่องของ C&C และหลังจากที่ส่งต่อ SMS นั้นมาที่เครื่องของ C&C แล้ว เครื่องของเหยื่อจะลบ SMS ต้นฉบับทิ้งเพื่อไม่ให้ผู้ใช้สังเกตเห็นความผิดปกติ
  8. จากรูปจะพบว่าเมื่อเครื่องที่มีหมายเลขโทรศัพท์คือ +66815xxxxxx ส่งข้อความว่า “message test 1234.” เข้ามาที่เครื่องของเหยื่อ SMS นั้นจะถูกส่งต่อมาที่เครื่อง C&C พร้อมทั้งระบุหมายเลขโทรศัพท์ของผู้ส่ง
  9. หากเครื่อง C&C ส่งคำสั่งมาว่า “off” เครื่องของเหยื่อจะหยุดการส่ง SMS มาที่เครื่องของ C&C พร้อมกับส่งข้อความว่า “Eh no”


รูปที่ 6 ตัวอย่างหน้าจอการโต้ตอบกับ C&C ของเครื่องที่ติดแอนตี้ไวรัสปลอม

ผลกระทบ

ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวอาจถูกขโมยข้อมูลสำคัญจาก SMS เช่น ข้อมูลรหัส OTP สำหรับเข้าทำธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งอาจถูกนำไปใช้โดยผู้ไม่ประสงค์ดีและนำไปสู่การขโมยเงินจากบัญชีธนาคาร ภายหลังได้

ระบบที่ได้รับผลกระทบ

ระบบปฏิบัติการ Android ที่ติดตั้งแอปพลิเคชันแอนตี้ไวรัส AVG ปลอม

ข้อแนะนำในการป้องกันและแก้ไข

จะเห็นได้ว่า การโจมตีดังกล่าวนี้เกิดจากการที่ผู้ไม่หวังดีหลอกให้ผู้ใช้ติดตั้งแอปพลิเค ชันหลอกลวงที่อ้างว่าเป็นแอนตี้ไวรัสเพื่อใช้ตรวจสอบมัลแวร์บนโทรศัพท์มือ ถือ โดยแหล่งที่มาของแอปพลิเคชันนั้นไม่ได้มาจากเว็บไซต์จริงของเว็บไซต์ผู้ พัฒนา และเป็นการติดตั้งแอปพลิเคชันจากแหล่งซอฟต์แวร์ภายนอกที่ไม่ใช่ Google Play Store และเมื่อมีการใช้งานแอปพลิเคชันแอนตี้ไวรัสของ AVG ที่ดาวโหลดจาก Google Play Store มาทดสอบ พบว่าสามารถตรวจจับการทำงานที่เป็นอันตรายของแอปพลิเคชันปลอมดังกล่าวได้ดัง รูปที่ 7 รวมถึงเมื่อนำไฟล์มัลแวร์ไปตรวจสอบบนเว็บไซต์ www.virustotal.com แล้วพบว่าเป็นมัลแวร์ตระกูลชื่อ Zitmo ซึ่งมีความสามารถในการขโมยข้อมูล SMS เป็นหลัก


รูป ที่ 6 ตัวอย่างหน้าจอแอปพลิเคชันของแอนตี้ไวรัส AVG ที่ดาวโหลดจาก Google Play Store และสามารถตรวจจับพฤติกรรมอันตรายของแอปพลิเคชันปลอมดังกล่าวได้
การป้องกันตัวไม่ให้ตกเป็นเหยื่อจากจากการโจมตีด้วยวิธีดังกล่าว ผู้ใช้งานควรพิจารณาแอปพลิเคชันที่จะติดตั้งลงในโทรศัพท์มือถืออย่างรอบคอบ ไม่ควรติดตั้งแอปพลิเคชันที่มีแหล่งที่มาไม่น่าเชื่อถือ รวมถึงตรวจสอบการร้องขอสิทธิ (Permission) ของแอปพลิเคชันนั้นๆ ว่ามีความเหมาะสมหรือไม่

อ้างอิง

  1. http://www.thaicert.or.th/papers/general/2011/pa2011ge010.html
  2. http://www.thaicert.or.th/papers/technical/2012/pa2012te003.html
  3. http://www.thaicert.or.th/papers/technical/2012/pa2012te011.html
เขียนโดย ที่

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)