ตรวจพบแอปอ่านเอกสาร (ปลอม) หลอกปล่อยมัลแวร์
ตรวจพบแอปอ่านเอกสาร (ปลอม) หลอกปล่อยมัลแวร์ Anatsa กลาง Play Store อย่างอุกอาจ
แอปสโตร์อย่างเป็นทางการของผู้ใช้งานระบบปฏิบัติการ Android อย่าง Google Play Store นั้น จะมีการอวดอ้างถึงความละเอียดลออในการกลั่นกรองแอปพลิเคชันที่จะถูกปล่อยให้ดาวน์โหลดหรือจัดจำหน่ายบนแพลตฟอร์มก็ตาม แต่หลายครั้งแอปพลิเคชันปนมัลแวร์ที่ร้ายแรงก็หลุดมาเยอะมากอย่างไม่น่าเชื่อ ดั่งเช่นบนข่าวนี้
จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบแอปพลิเคชันอ่านเอกสาร (ปลอม) ที่มีการสอดแทรกมัลแวร์ดูดเงิน หรือ Banking Trojan ชื่อ Anatsa ถูกปล่อยให้ดาวน์โหลดอยู่บนแอปสโตร์อย่างเป็นทางการของระบบ Android อย่าง Google Play Store ซึ่งแอปพลิเคชันอันตรายดังกล่าวนั้น กว่าทาง Google ซึ่งเป็นเจ้าของแอปสโตร์จะรู้ตัว และมาลบทิ้งนั้น ก็มีผู้ดาวน์โหลดไปกว่า 1 หมื่นรายเป็นที่เรียบร้อยแล้ว ซึ่งทางทีมวิจัยจาก Zscaler บริษัทผู้เชี่ยวชาญด้านการป้องกันภัยไซเบอร์ ได้เผยว่าแอปพลิเคชันดังกล่าวนั้นถูกแพร่กระจายภายใต้ชื่อแพ็คเกจว่า com.groundstation.informationcontrol.filestation_browsefiles_readdocs โดยแพ็คเกจนี้สามารถหลบเลี่ยงจากการถูกตรวจจับโดยระบบป้องกันภัยของทาง Play Store และหลบซ่อนแฝงตัวอยู่บนแอปสโตร์ได้เป็นเวลานานพอสมควรเลยทีเดียว
ตัวแอปพลิเคชันดังกล่าวนั้นจะทำหน้าที่เป็นมัลแวร์นกต่อ หรือ Dropper ที่ฉากหน้านั้นจะทำงานเหมือนแอปพลิเคขันอ่านเอกสารทั่วไปไม่มีอะไรผิดเพี้ยน แต่เบื้องหลังนั้น ตัวมัลแวร์จะทำการติดต่อกับเซิร์ฟเวอร์ระยะไกล (Remote Server) เพื่อดาวน์โหลดไฟล์มัลแวร์ (Payload) ของ Anatsa จาก http://23.251.108[.]10:8080/privacy.txt ลงมาบนเครื่องของเหยื่ออย่างเงียบเชียบ ซึ่งการที่ทำวิธีการติดตั้งมัลแวร์แบบ 2 ชั้น (Two-Stages Infection) นั้นก็เป็นไปเพื่อหลบเลี่ยงการตรวจจับจากระบบป้องกันของแอปสโตร์ และระบบป้องกันบนระบบ Android นั่นเอง
โดยหลังจากที่ตัวมัลแวร์สามารถรันบนเครื่องสำเร็จเป็นที่เรียบร้อยแล้ว ตัวมัลแวร์ก็จะทำการหลอกล่อเหยื่อเพื่อให้อนุญาตให้มัลแวร์สามารถใช้งานโหมดสำหรับช่วยเหลือผู้พิการ หรือ Accesibility Mode ซึ่งถ้ามัลแวร์ได้สิทธิ์ในการเข้าถึงเป็นที่เรียบร้อยแล้ว ตัวมัลแวร์ก็จะทำการเข้าถึงสิทธิ์ (Privilege) อื่น ๆ ได้อย่างอัตโนมัติ เช่น สิทธิ์ในการซ้อนหน้าจอ (Overlay) ทับหน้าแอปอื่น ซึ่งจะถูกนำไปใช้ในการขโมยรหัสผ่าน ด้วยการหลอกให้เหยื่อป้อนรหัสผ่านบนหน้าจอซ้อนทับ หรือ Overlay Attack, สิทธิ์ในการเข้าถึง และแทรกแซงบริการข้อความสั้น (SMS หรือ Short Message Service), และการแสดงผลแจ้งเตือน (Alert) แบบเต็มหน้าจอเป็นต้น
นอกจากนั้นตัวมัลแวร์ยังมีความสามารถอื่น ๆ อีกมากมาย เช่น ความสามารถในการหลบซ่อนตัวอยู่บนระบบนั้น ด้วยการซอยแบ่งไฟล์ DEX ไว้ในไฟล์บีบอัดแบบ Zip ที่ถูกทำให้เสีย (Corrupted Zip) ซึ่งไฟล์ดังกล่าวจะถูกรันเฉพาะในช่วงเวลา Runtime และเมื่อใช้เสร็จก็จะถูกลบทิ้งในทันที ทำให้ถูกตรวจจับได้ยาก ทั้งยังมีการใช้วิธีการฝังตัวบนไฟล์สคริปท์แบบ JSON ซึ่งเมื่อทำงานเสร็จก็จะถูกลบทิ้งทันทีเช่นเดียวกัน ไม่เพียงเท่านั้นการส่งข้อมูลทางช่องทางจราจรออนไลน์ (Traffic) ไปยังเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ยังถูกเข้ารหัส (Encryption) ด้วยอัลกอริทึมแบบ XOR อีกด้วย โดยเซิร์ฟเวอร์ C2 นั้นถูกตั้งอยู่ที่ http://172.86.91[.]94/api/, http://193.24.123[.]18:85/api/, และ http://162.252.173[.]37:85/api/ โดยหน้าจอแอปพลิเคชันธนาคารที่ถูกใช้ในการโจมตีเหยื่อด้วยการซ้อนทับหน้าจอนั้น ก็จะถูกดาวน์โหลดมาจากเซิร์ฟเวอร์เหล่านี้เมื่อยามที่มัลแวร์ต้องการใช้งาน ไม่เพียงเท่านั้น ตัวมัลแวร์ยังมีระบบป้องกันการถูกกักไว้ในสภาพแวดล้อมจำลอง (Anti-Sandbox) อีกด้วย
ในยุคที่แอปพลิเคชันบนมือถือกลายเป็นส่วนสำคัญในการทำงานและใช้ชีวิตประจำวัน ปัญหาแอปปลอมที่แฝงมัลแวร์อย่าง Banking Trojan Anatsa กำลังกลายเป็นภัยคุกคามที่ผู้ใช้ Android ต้องระวังมากขึ้น จากประสบการณ์ส่วนตัว ผมพบว่าแอปปลอมเหล่านี้มักถูกปล่อยในรูปแบบที่ดูเหมือนแอปอ่านเอกสารทั่วไป ทำให้หลายคนเข้าใจผิดและติดตั้งโดยไม่ระวังหลังการดาวน์โหลด ตัวมัลแวร์จะใช้วิธี Two-Stages Infection คือแอบดาวน์โหลดมัลแวร์จริง ๆ จากเซิร์ฟเวอร์ควบคุมแบบเงียบ ๆ ทำให้ระบบป้องกันต่าง ๆ ของ Play Store ตรวจจับได้ยาก และยังสามารถหลอกล่อให้ผู้ใช้เปิดสิทธิ์ Accessibility ซึ่งให้สิทธิ์สูงสุด ทำให้มัลแวร์สามารถเข้าถึงข้อมูลสำคัญ เช่น รหัสผ่าน ข้อความ SMS และแจ้งเตือนต่าง ๆ สิ่งที่ต้องทำเพื่อป้องกันตัวเองคือ หลีกเลี่ยงการดาวน์โหลดแอปที่ไม่น่าเชื่อถือหรือแอปจากแหล่งที่ไม่รู้จัก และตรวจสอบรีวิวดี ๆ ก่อนดาวน์โหลดเสมอ นอกจากนี้ควรตั้งค่าความปลอดภัยในมือถือให้รัดกุม เช่น ปิดสิทธิ์ Accessibility ที่ไม่ได้ใช้งาน และติดตั้งแอปป้องกันมัลแวร์หรือระบบตรวจจับภัยคุกคาม อีกหนึ่งสิ่งที่สำคัญคือการอัปเดตระบบ Android และแอปพลิเคชันเสมอ เพราะการอัปเดตเหล่านี้มักเพิ่มฟีเจอร์ความปลอดภัยและช่วยสแกนตรวจจับแอปที่เป็นอันตรายได้ดีขึ้น ผู้ที่พบว่าอาจติดตั้งแอปปลอมไปแล้ว ควรลบแอปนั้นทันทีและเปลี่ยนรหัสผ่านบัญชีสำคัญทุกอย่าง รวมถึงแจ้งธนาคารหรือติดตามข่าวสารเกี่ยวกับแอปพลิเคชันมัลแวร์อย่างใกล้ชิด เพื่อลดความเสี่ยงการสูญเสียข้อมูลหรือเงินในบัญชี การระมัดระวังและรับรู้ข้อมูลใหม่ ๆ เกี่ยวกับภัยคุกคามบนมือถือ เช่น กรณีมัลแวร์ Anatsa นี้ เป็นวิธีที่ดีที่สุดที่จะปกป้องข้อมูลของเราในยุคดิจิทัลนี้
