ระวังภัย มัลแวร์ใน Android (แจ้ง.apk) แพร่กระจายด้วยการส่ง SMS

ข้อมูลทั่วไป

เมื่อวันที่ 13 สิงหาคม 2557 ไทยเซิร์ตได้รับรายงานว่ามีผู้ใช้งานโทรศัพท์มือถือระบบปฏิบัติการ Android ได้รับ SMS ข้อความ “(ชื่อผู้ติดต่อในโทรศัพท์), แจ้งให้ทราบการจัดส่งของคุณ http://goo.gl/NPD8sd” ซึ่งเมื่อเปิดลิงก์จะพาไปยังหน้าเว็บไซต์ Dropbox ซึ่งเป็นเว็บไซต์บริการรับฝากไฟล์ เพื่อดาวน์โหลดไฟล์ชื่อ แจ้ง.apk เมื่อติดตั้งแอปพลิเคชันจากไฟล์ .apk ดังกล่าวลงในเครื่องแล้ว แอปพลิเคชันนี้จะลักลอบส่ง SMS ออกไปยังหมายเลขโทรศัพท์อื่นๆ ที่ถูกบันทึกอยู่ในเครื่อง เพื่อแพร่กระจายมัลแวร์ไปยังผู้ใช้รายอื่น [1] [2] จากการตรวจสอบโดยไทยเซิร์ตพบว่า แอปพลิเคชันดังกล่าวมีลักษณะเป็นโปรแกรมไม่พึงประสงค์ ผู้ใช้งานโทรศัพท์มือถือระบบปฏิบัติการ Android ควรตรวจสอบ SMS ที่น่าสงสัยและหลีกเลี่ยงการดาวน์โหลดหรือติดตั้งแอปพลิเคชันดังกล่าว

จากการวิเคราะห์ไฟล์ .apk ไทยเซิร์ตพบว่าแอปพลิเคชันดังกล่าวมีการร้องขอสิทธิ์การทำงาน (Permission) ที่น่าสงสัย เช่น อ่านรายชื่อผู้ติดต่อ อ่าน แก้ไข และรับส่งข้อความ SMS รวมถึงเชื่อมต่ออินเทอร์เน็ต เป็นต้น ซึ่งการขอสิทธิ์ในลักษณะนี้ แอปพลิเคชันสามารถขโมยข้อมูลหรือทำให้ผู้ที่ติดตั้งแอปพลิเคชันดังกล่าวเสียเงินค่าส่ง SMS เป็นจำนวนมากได้ นอกจากนี้ แอปพลิเคชันยังมีการร้องขอสิทธิ์ Device administration ในการล็อกหน้าจอ ซึ่งเป็นที่น่าสังเกตว่าการร้องขอสิทธิ์ดังกล่าวอาจมีจุดประสงค์ที่ไม่ดีอื่น ๆ อีกด้วย

รูปที่ 1 สิทธิ์ที่แอปพลิเคชันสามารถเข้าถึงได้

รูปที่ 2 การร้องขอสิทธิ์ Device administration เมื่อเปิดแอปพลิเคชัน

ผลกระทบ

• ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวลงในเครื่องอาจถูกขโมยข้อมูลรายชื่อผู้ติดต่อหรือข้อมูลอื่นๆ
• ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวลงในเครื่องอาจต้องเสียค่าบริการ SMS ที่แอปพลิเคชันดังกล่าวลักลอบแอบส่งข้อความเป็นจำนวนมาก

รูปที่ 3 สถิติการคลิกลิงก์ที่เผยแพร่มัลแวร์ จำแนกตามประเทศ เมื่อวันที่ 13 ส.ค. 2557 เวลา 12:41 น.

เมื่อตรวจสอบผลกระทบต่อผู้ใช้ในประเทศไทยจากสถิติของการคลิกลิงก์ที่เผยแพร่มัลแวร์ (http://goo.gl/NPD8sd) พบว่ามีการสร้างลิงก์ดังกล่าวตั้งแต่วันที่ 12 สิงหาคม โดยมีผู้ใช้ในประเทศไทยคลิกลิงก์นี้ถึง 19,056 ครั้ง [3]

รูปที่ 4 สถิติการคลิกลิงก์ที่เผยแพร่มัลแวร์ จำแนกตามเว็บเบราว์เซอร์และระบบปฏิบัติการ

จากสถิติข้างต้นพบว่ามีผู้ใช้งานที่เข้าถึง URL ดังกล่าวจากระบบปฏิบัติการ iOS เป็นจำนวนกว่า 9,288 ครั้ง ซึ่งผู้ใช้งานในกลุ่มนี้น่าจะไม่ได้รับผลกระทบเนื่องจากใช้งานคนละระบบปฏิบัติการกัน และนอกจากนี้ จากสถิติที่จำแนกตามระบบปฏิบัติการ ที่พบว่าเป็นระบบปฏิบัติการ Linux จำนวนกว่า 9,000 ครั้ง มีความเป็นไปได้ว่า ผู้ใช้เข้าถึง URL จากโทรศัพท์มือถือระบบปฏิบัติการ Android เนื่องจากเว็บเบราว์เซอร์ในระบบปฏิบัติการ Android มักจะแสดงตัวเป็นระบบปฏิบัติการ Linux

ระบบที่ได้รับผลกระทบ

ผู้ใช้งานโทรศัพท์มือถือหรืออุปกรณ์ที่ใช้ระบบปฏิบัติการ Android

ข้อแนะนำในการป้องกันและแก้ไข

เมื่อติดตั้งแอปพลิเคชันดังกล่าวลงในเครื่อง แอปพลิเคชันอันตรายนี้จะใช้ชื่อว่า Google Service Framework ซึ่งตั้งชื่อคล้ายคลึงกับแอปพลิเคชันจริงที่ชื่อว่า Google Services Framework (มี s ต่อท้าย Service) ดังนั้นสำหรับผู้ใช้งานที่ติดตั้งแอปพลิเคชันดังกล่าวไปแล้ว ให้รีบถอนการติดตั้งแอปพลิเคชัน โดยเข้าไปที่ Settings > Security > Device administrators แล้วติ๊กเครื่องหมายถูกออกหลังแอปพลิเคชัน Google Service Framework เพื่อถอนการให้สิทธิ์ Device administration จากนั้นให้ถอนการติดตั้งแอปพลิเคชันนี้ตามขั้นตอนปกติ

รูปที่ 5 แอปพลิเคชันปลอม (Google Service Framework) ที่ตั้งชื่อคล้ายคลึงกับแอปพลิเคชันจริง (Google Services Framework)

รูปที่ 6 หน้าจัดการสิทธิ์ Device administration ของแอปพลิเคชัน

ทั้งนี้ ผู้ใช้งานควรติดตั้งแอปพลิเคชันจากแหล่งที่น่าเชื่อถือเท่านั้น เช่น Google Play Store แต่อย่างไรก็ตาม แม้จะเป็นแอปพลิเคชันที่อยู่ใน Google Play Store ก็ควรเพิ่มความระมัดระวังเป็นพิเศษ เนื่องจากเคยมีการพบแอปพลิเคชันปลอมใน Google Play Store เมื่อเดือนมีนาคม 2557 [4] มาแล้ว ดังนั้น ผู้ใช้อาจตรวจสอบแอปพลิเคชันที่น่าสงสัยได้โดยวิธีการดังต่อไปนี้

• ตรวจสอบจากจำนวนดาวน์โหลด และรีวิวของผู้ใช้งาน โดยสังเกตแอปพลิเคชันที่มียอดดาวน์โหลดที่ต่ำหรือรีวิวของผู้ใช้งานที่แจ้งถึงความผิดปกติ
• ตรวจสอบการร้องขอสิทธิ์ (Permission) ของแอปพลิเคชันว่ามีความเหมาะสมหรือไม่ เช่นแอปพลิเคชันที่มีการขอสิทธิ์ในการส่ง SMS และ Internet access ควรพิจารณาว่ามีการร้องขอสิทธิ์ดังกล่าวเพื่อจุดประสงค์ใด

นอกจากนี้ผู้ใช้งานยังสามารถศึกษาบทความที่ไทยเซิร์ตได้เคยเผยแพร่ ถึงวิธีการตรวจสอบและป้องกันปัญหามัลแวร์ รวมถึงวิธีการใช้งานโทรศัพท์มือถือให้ปลอดภัย จากบทความดังต่อไปนี้

• แนวทางการใช้งานโทรศัพท์มือถือให้ปลอดภัยจากภัยคุกคาม [5]
• รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android [6]
• รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android ตอนที่ 2 [7]

สำหรับผู้ดูแลระบบ ในขณะนี้อาจทำการปิดกั้นการเชื่อมต่อไปยังเว็บไซต์ http://goo.gl/NPD8sd เพื่อป้องกันไม่ให้ผู้ใช้งานเข้าไปดาวน์โหลดแอปพลิเคชันนี้ และปิดกั้นการเชื่อมต่อกับหมายเลขไอพี 213.163.72.147 เพื่อป้องกันมัลแวร์นี้ติดต่อกลับไปยังผู้ไม่หวังดี ทั้งนี้ ไทยเซิร์ตกำลังอยู่ในระหว่างการตรวจสอบวิเคราะห์เพิ่มเติมถึงพฤติกรรมของมัลแวร์ดังกล่าว และจะนำข้อมูลมาอัปเดตให้ทราบอีกครั้ง

อ้างอิง

1. http://pantip.com/topic/32443108
2. http://pantip.com/topic/32444404
3. https://goo.gl/#analytics/goo.gl/NPD8sd/all_time
4. https://www.thaicert.or.th/alerts/user/2014/al2014us008.html
5. https://www.thaicert.or.th/papers/general/2011/pa2011ge010.html
6. https://www.thaicert.or.th/papers/technical/2012/pa2012te003.html
7. https://www.thaicert.or.th/papers/technical/2012/pa2012te011.html

ข้อมูลจาก https://www.thaicert.or.th/alerts/user/2014/al2014us017.html