Facebook Twitter RSS Feed
gPlus 

แคสเปอร์สกี้ แลป พบ Triada มัลแวร์ของแอนดรอยด์


ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ตรวจพบไทรอาด้า (Triada) โทรจันตัวใหม่ล่าสุดที่มุ่งโจมตีโมบายดีไวซ์ระบบ Android เวอร์ชั่น 4.4.4 และเวอร์ชั่นต่ำกว่า มีความซับซ้อนเทียบเท่ามัลแวร์ระบบวินโดวส์ เขียนขึ้นโดยอาชญากรไซเบอร์ที่มีความเชี่ยวชาญ


แคสเปอร์สกี้ แลป พบ Triada มัลแวร์ของแอนดรอยด์
จากผลการวิจัยล่าสุดของแคสเปอร์สกี้ แลป เรื่อง "Mobile malware evolution 2015" พบว่า โทรจันยอดฮิต 20 รายการในปี 2015 นั้น จำนวนเกือบครึ่งเป็นมัลแวร์ที่มีความสามารถในการแอคเซสข้อมูลแบบซุปเปอร์ยูสเซอร์ ซึ่งจะให้สิทธิ์แก่โจรไซเบอร์ในการติดตั้งแอพพลิเคชั่นบนมือถือโดยที่เจ้าของไม่รู้ตัว

มัลแวร์ประเภทนี้จะแพร่กระจายผ่านแอพพลิเคชั่นที่ผู้ใช้งานดาวน์โหลดหรือติดตั้งจากแหล่งที่ไม่น่าเชื่อถือ บางครั้งแอพพลิเคชั่นเหล่านี้ก็พบได้ในแอพสโตร์ของกูเกิ้ล แฝงตัวมาในรูปของเกมและแอพบันเทิง อาจติดตั้งลงเครื่องระหว่างการอัพเดทแอพอื่นๆ และอาจติดตั้งไว้ในเครื่องไว้ก่อนแล้ว

โมบายโทรจันที่มีสิทธิ์เข้าถึงรูทได้ มีทั้งหมด 11 ตระกูล โดยมี 3 ตระกูล คือ Ztorg, Gorpo และ Leech ที่ทำงานร่วมกัน ดีไวซ์ที่ติดเชื้อโทรจันเหล่านี้จะแอคเซสเน็ตเวิร์ก และสร้างบ็อตเน็ตสำหรับติดตั้งแอดแวร์
นอกจากนี้ เมื่อทำการรูทเครื่องแล้ว โทรจันจะดาวน์โหลดและติดตั้งแบ็คดอร์ จากนั้นจะดาวน์โหลดและเปิดใช้งานโมดูล 2 รายการ ที่มีความสามารถในการดาวน์โหลด ติดตั้ง และเปิดแอพพลิเคชั่นได้เอง
แอพพลิเคชั่นโหลดเดอร์และโมดูลในการติดตั้งจะแตกต่างกันไปตามโทรจันแต่ละตัว แต่รายการทั้งหมดนี้ถูกเพิ่มเข้าในดาต้าเบสแอนตี้ไวรัสภายใต้ชื่อ "ไทรอาด้า"


แคสเปอร์สกี้ แลป พบ Triada มัลแวร์ของแอนดรอยด์
เข้าถึงกระบวนการแม่ของแอนดรอยด์

ฟีเจอร์ที่น่าสนใจของมัลแวร์นี้ คือการใช้งาน Zygote ซึ่งเป็นกระบวนการแม่ของแอพพลิเคชั่นในดีไวซ์ระบบ Android ประกอบด้วยข้อมูลระบบและขอบข่ายงานของแอพพลิเคชั่นทุกตัวที่ติดตั้งในดีไวซ์ กล่าวคือ Zygote คือตัวเปิดใช้งานแอพพลิเคชั่น เป็นขั้นตอนมาตรฐานของแอพในการทำงาน ซึ่งกล่าวได้ว่า หากโทรจันเข้าสู่ระบบ จะกลายเป็นส่วนหนึ่งของกระบวนการทำงานของแอพและสามารถเปลี่ยนแปลงการทำงานของแอพพลิเคชั่นได้ตามต้องการ

ก่อนหน้านี้ เทคโนโลยีนี้เป็นแค่เพียงแนวคิดเท่านั้น โทรจันไทรอาด้าจึงนับเป็นมัลแวร์ตัวแรกที่สามารถปฏิบัติการเช่นนี้ได้

มัลแวร์ตัวนี้มีความสามารถในการหลบซ่อนขั้นสูง ไทรอาด้าจะเข้าระบบการทำงานและฝังตัวในหน่วยความจำสั้นของดีไวซ์ ทำให้ใช้โซลูชั่นแอนตี้ไวรัสตรวจจับและการลบได้ยากขึ้น ไทรอาด้าปฏิบัติงานเงียบๆ ซ่อนตัวหลบไม่ให้ผู้ใช้งานและแอพพลิเคชั่นอื่นๆ ตรวจพบ รูปแบบการทำงานของไทรอาด้า

โทรจันไทรอาด้าสามารถดัดแปลงข้อความ SMS ที่ส่งออกโดยแอพพลิเคชั่นอื่น ซึ่งนับเป็นฟังก์ชั่นใหม่ของมัลแวร์เลยทีเดียว เมื่อผู้ใช้งานทำการซื้อขายผ่านแอพเกมด้วย SMS โจรไซเบอร์จะแก้ไขข้อมูลเพื่อรับเงินแทนเจ้าของเกมตัวจริง

"โทรจัน Ztorg, Gorpo และ Leech ของไทรอาด้า สร้างมิติใหม่ของวิวัฒนาการของภัยคุกคามแอนดรอยด์ เป็นมัลแวร์กลุ่มแรกที่แพร่กระจายเพื่อหวังผลการเพิ่มสิทธิพิเศษในดีไวซ์ ผู้ใช้ส่วนใหญ่ที่ถูกโจมตีมีภูมิลำเนาอยู่ที่รัสเซีย อินเดีย ยูเครน รวมถึงประเทศต่างๆ ในเอเชียแปซิฟิก มัลแวร์นี้สร้างขึ้นโดยอาชญากรไซเบอร์ที่มีความรู้ความเชี่ยวชาญด้านแพลตฟอร์มโมบายเป็นอย่างดี การคุกคามดีไวซ์ในขั้นแรกนี้ ก็เพื่อต้องการเข้าถึงดีไวซ์โดยใช้แอพพลิเคชั่นร้ายที่มีความซับซ้อนและรุนแรงมากยิ่งขึ้นอีก จึงไม่ควรมองข้ามอันตรายของมัน" นิกิต้า บุชก้า นักวิเคราะห์มัลแวร์ แคสเปอร์สกี้ แลป

การถอนการติดตั้งมัลแวร์ออกจากเครื่องทำได้ยากมาก ผู้ใช้งานมีทางเลือกในการกำจัดมัลแวร์แค่สองทาง นั่นคือ การรูทดีไวซ์และลบแอพพลิเคชั่นร้ายด้วยตนเอง และการเจลเบรคระบบแอนดรอยด์ของดีไวซ์

ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับไทรอาด้าได้ในชื่อ Trojan-Downloader.AndroidOS.Triada.a; Trojan-SMS.AndroidOS.Triada.a; Trojan-Banker.AndroidOS.Triada.a; Backdoor.AndroidOS.Triada.

ข้อมูลเพิ่มเติม
- Attack on Zygote: a new twist in the evolution of mobile threats https://securelist.com/analysis/publications/74032/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats
- Mobile malware evolution 2015 https://securelist.com/analysis/kaspersky-security-bulletin/73839/mobile-malware-evolution-2015/

กลับขึ้นด้านบน