ระวังภัย มัลแวร์ใน Android ในรูปแบบของแอนตี้ไวรัส AVG ปลอม

ที่มาของข่าว ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเตอร์ประเทศไทย (ไทยเซิร์ต)
สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน)

https://www.thaicert.or.th/alerts/user/2013/al2013us007.html

วันที่ประกาศ: 12 มิถุนายน 2556
ปรับปรุงล่าสุด: 17 มิถุนายน 2556
เรื่อง: ระวังภัย มัลแวร์ใน Android ในรูปแบบของแอนตี้ไวรัส AVG ปลอม

ประเภทภัยคุกคาม: Malicious Code

ข้อมูลทั่วไป

ไทยเซิร์ตได้รับรายงานมัลแวร์ที่ทำงานบนระบบปฏิบัติการ Android เผยแพร่อยู่บนอินเทอร์เน็ต ในการโจมตีผู้ไม่ประสงค์ดีจะหลอกผู้ใช้งานอินเทอร์เน็ตให้เปิดหน้าเว็บไซต์ธนาคารปลอม ซึ่งในหน้าเว็บไซต์ดังกล่าวจะมีการปรับแต่งให้เสมือนว่าเป็นหน้าของเว็บไซต์จริงทั้งหมด รวมถึงมีการแจ้งเตือนให้ผู้ใช้งานดาวโหลดแอปพลิเคชันแอนตี้ไวรัสที่ชื่อว่า AVG ได้ฟรี โดยแอปพลิเคชันดังกล่าวเป็นแอปพลิเคชันปลอมที่ผู้ไม่ประสงค์ดีสร้างขึ้นมาเลียนแบบแอปพลิเคชันแอนตี้ไวรัสของ AVG และมีวัตถุประสงค์เพื่อขโมยข้อมูล SMS บนโทรศัพท์มือถือของผู้ใช้งานที่ติดตั้งแอปพลิเคชันดังกล่าว

• http://avg.<สงวนข้อมูล>.mobi/avg.apk
• File Name: avg.apk
• File size: 279,115 bytes
• MD5: d232f20d95f97147c36ec246c8a140a6
• SHA1: 9b165adf118e957ecc50c063ca5bd0013cb9fe2a

ทีมไทยเซิร์ตได้ตรวจสอบข้อมูลต่างๆของแอปพลิเคชันที่อยู่ในไฟล์ .apk โดยวิธีการ Reverse Engineering พบว่ามีโครงสร้างซอร์สโค้ด ดังรูปที่ 1

รูปที่ 1 แสดงโครงสร้างของไฟล์ avg.apk

ไฟล์ AndroidManifest.xml เป็นไฟล์ที่ใช้กำหนดคุณสมบัติของแอปพลิเคชัน รวมถึงกำหนดสิทธิ (Permission) ที่แอปพลิเคชันนั้นสามารถเข้าถึงได้ ซึ่งพบว่าแอปพลิเคชั่นดังกล่าวมีความสามารถในการอ่าน เขียน และส่ง SMS อย่างไรก็ตาม ไม่พบว่าแอปพลิเคชันนี้มีสิทธิในการเชื่อมต่ออินเทอร์เน็ตได้ ดังรูปที่ 2

รูปที่ 2 ข้อมูลจากไฟล์ AndroidManifest.xm

เมื่อตรวจสอบซอร์สโค้ดของแอปพลิเคชั่น พบว่ามีฟังก์ชันในการส่ง SMS ไปยังหมายเลขโทรศัพท์ที่อยู่ในประเทศอังกฤษ (+447624803598) ดังรูปที่ 3

รูปที่ 3 แสดงฟังก์ชั่นที่แสดงให้เห็นว่ามีการตั้งค่าและมีการส่ง SMS ไปยังหมายเลข +447624803598

เมื่อทดลองติดตั้งแอปพลิเคชันลงในโปรแกรมโทรศัพท์มือถือที่ใช้งานระบบปฏิบัติการ Android พบไอคอนของแอปพลิเคชันที่ชื่อ AVG AntiVirus ดังรูปที่ 4

รูปที่ 4 ไอคอนของแอปพลิเคชันที่ถูกติดตั้ง

เมื่อเปิดเข้าไปยังแอปพลิเคชันดังกล่าว จะพบหน้าจอเป็นรูปโลโก้แอนตี้ไวรัส และมีลักษณะเป็นช่องกรอกข้อมูลพร้อมหมายเลขรายละเอียด "777390927" แต่จากการตรวจสอบพบว่าเป็นเพียงรูปโลโก้และไม่สามารถแก้ไขข้อมูลหรือทำอะไรได้ เมื่อทดสอบกดที่ปุ่ม OK พบว่าแอปพลิเคชันจะปิดตัวลงโดยอัตโนมัติ รวมถึงจากการวิเคราะห์ซอร์สโค้ดร่วมกับการทดสอบจริงพบว่ามีการซ่อนไอคอนของแอปพลิเคชันภายหลังจากการรีบูตหรือปิดเครื่อง ซึ่งจุดประสงค์คาดว่าต้องการอำพรางการทำงานของแอปพลิเคชันดังกล่าว

รูปที่ 5 ตัวอย่างหน้าจอแอปพลิเคชันปลอมของแอนตี้ไวรัส

จากการตรวจสอบเพิ่มเติม ทางไทยเซิร์ตพบความสามารถในการสั่งการและตอบสนองการสั่งการจากเครื่องที่เป็น C&C (Command & Control) โดยทำผ่าน SMS ตัวอย่างหน้าจอการโต้ตอบกับ C&C เป็นดังรูปที่ 6 ซึ่งสามารถอธิบายการทำงานได้ดังนี้

1. เครื่องที่เป็น C&C คือเครื่อง iPhone มีหมายเลขโทรศัพท์คือ +66819xxxxxx
2. เครื่องที่ตกเป็นเหยื่อ คือเครื่อง Android มีหมายเลขโทรศัพท์คือ 083xxxxxxx
3. เครื่อง C&C ส่ง SMS ไปที่เครื่องเหยื่อ โดยมีข้อความว่า "set admin +66819xxxxxx" เพื่อกำหนดให้เครื่องของเหยื่อรับคำสั่งจากเครื่องที่มีหมายเลขโทรศัพท์ +66819xxxxxx
4. เครื่องของเหยื่อตอบกลับมาด้วยข้อความ "yes we are"
5. เครื่อง C&C ส่งคำสั่ง "On" ไปเพื่อบอกว่า ให้เครื่องของเหยื่อส่งต่อ SMS ทุกอย่างที่ได้รับมาที่เครื่องของ C&C
6. หลังจากที่เครื่องของเหยื่อได้รับคำสั่ง จะส่ง SMS ตอบกลับมาว่า "Oh ok"
7. หลังจากนั้น ไม่ว่าจะมี SMS อะไรส่งเข้ามาที่เครื่องของเหยื่อ SMS นั้นจะถูกส่งต่อมาที่เครื่องของ C&C และหลังจากที่ส่งต่อ SMS นั้นมาที่เครื่องของ C&C แล้ว เครื่องของเหยื่อจะลบ SMS ต้นฉบับทิ้งเพื่อไม่ให้ผู้ใช้สังเกตเห็นความผิดปกติ
8. จากรูปจะพบว่าเมื่อเครื่องที่มีหมายเลขโทรศัพท์คือ +66815xxxxxx ส่งข้อความว่า "message test 1234." เข้ามาที่เครื่องของเหยื่อ SMS นั้นจะถูกส่งต่อมาที่เครื่อง C&C พร้อมทั้งระบุหมายเลขโทรศัพท์ของผู้ส่ง
9. หากเครื่อง C&C ส่งคำสั่งมาว่า "off" เครื่องของเหยื่อจะหยุดการส่ง SMS มาที่เครื่องของ C&C พร้อมกับส่งข้อความว่า "Eh no"

รูปที่ 6 ตัวอย่างหน้าจอการโต้ตอบกับ C&C ของเครื่องที่ติดแอนตี้ไวรัสปลอม

ผลกระทบ

ผู้ใช้ที่ติดตั้งแอปพลิเคชันดังกล่าวอาจถูกขโมยข้อมูลสำคัญจาก SMS เช่น ข้อมูลรหัส OTP สำหรับเข้าทำธุรกรรมทางอิเล็กทรอนิกส์ ซึ่งอาจถูกนำไปใช้โดยผู้ไม่ประสงค์ดีและนำไปสู่การขโมยเงินจากบัญชีธนาคารภายหลังได้

ระบบที่ได้รับผลกระทบ

ระบบปฏิบัติการ Android ที่ติดตั้งแอปพลิเคชันแอนตี้ไวรัส AVG ปลอม

ข้อแนะนำในการป้องกันและแก้ไข

จะเห็นได้ว่า การโจมตีดังกล่าวนี้เกิดจากการที่ผู้ไม่หวังดีหลอกให้ผู้ใช้ติดตั้งแอปพลิเคชันหลอกลวงที่อ้างว่าเป็นแอนตี้ไวรัสเพื่อใช้ตรวจสอบมัลแวร์บนโทรศัพท์มือถือ โดยแหล่งที่มาของแอปพลิเคชันนั้นไม่ได้มาจากเว็บไซต์จริงของเว็บไซต์ผู้พัฒนา และเป็นการติดตั้งแอปพลิเคชันจากแหล่งซอฟต์แวร์ภายนอกที่ไม่ใช่ Google Play Store และเมื่อมีการใช้งานแอปพลิเคชันแอนตี้ไวรัสของ AVG ที่ดาวโหลดจาก Google Play Store มาทดสอบ พบว่าสามารถตรวจจับการทำงานที่เป็นอันตรายของแอปพลิเคชันปลอมดังกล่าวได้ดังรูปที่ 7 รวมถึงเมื่อนำไฟล์มัลแวร์ไปตรวจสอบบนเว็บไซต์ www.virustotal.com แล้วพบว่าเป็นมัลแวร์ตระกูลชื่อ Zitmo ซึ่งมีความสามารถในการขโมยข้อมูล SMS เป็นหลัก

รูปที่ 6 ตัวอย่างหน้าจอแอปพลิเคชันของแอนตี้ไวรัส AVG ที่ดาวโหลดจาก Google Play Store และสามารถตรวจจับพฤติกรรมอันตรายของแอปพลิเคชันปลอมดังกล่าวได้

การป้องกันตัวไม่ให้ตกเป็นเหยื่อจากจากการโจมตีด้วยวิธีดังกล่าว ผู้ใช้งานควรพิจารณาแอปพลิเคชันที่จะติดตั้งลงในโทรศัพท์มือถืออย่างรอบคอบ ไม่ควรติดตั้งแอปพลิเคชันที่มีแหล่งที่มาไม่น่าเชื่อถือ รวมถึงตรวจสอบการร้องขอสิทธิ (Permission) ของแอปพลิเคชันนั้นๆ ว่ามีความเหมาะสมหรือไม่

อย่างไรก็ตาม ปัญหามัลแวร์ในระบบปฏิบัติการ Android ไม่ใช่เรื่องใหม่ ทางไทยเซิร์ตได้เคยนำเสนอวิธีการตรวจสอบและป้องกันปัญหามัลแวร์ รวมถึงวิธีการใช้งานโทรศัพท์มือถือให้ปลอดภัย ผู้อ่านสามารถศึกษาเพิ่มเติมได้จากบทความ

• แนวทางการใช้งานโทรศัพท์มือถือให้ปลอดภัยจากภัยคุกคาม [1]
• รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android [2]
• รู้ทันและป้องกัน Malware ในระบบปฏิบัติการ Android ตอนที่ 2 [3]

อ้างอิง

1. http://www.thaicert.or.th/papers/general/2011/pa2011ge010.html
2. http://www.thaicert.or.th/papers/technical/2012/pa2012te003.html
3. http://www.thaicert.or.th/papers/technical/2012/pa2012te011.html