แอป Telegram เวอร์ชัน Android ปลอมระบาดหนัก พบถูกอัปโหลดขึ้นมากกว่า 600 เว็บไซต์
มัลแวร์ แอปพลิเคชันปลอม และระบบปฏิบัติการ Android นั้น ดูเหมือนจะเป็นของที่คู่กันไปแล้ว โดยเฉพาะอย่างที่ 2 มักจะมุ่งเน้นไปยังแอปพลิเคชันสำหรับการทำงาน และแอปพลิเคชันที่เป็นที่นิยมในหมู่คนรุ่นใหม่ Telegram ซึ่งเป็นบริการแชทดังในหมู่คนไอที และวัยรุ่น ก็เป็นอีกหนึ่งเป้าหมายยอดนิยมในการสร้างแอปปลอมเช่นกัน
จากรายงานโดยเว็บไซต์ Hackread ได้กล่าวถึงการตรวจพบแคมเปญใหม่ในการแพร่กระจายมัลแวร์ผ่านทางแอปพลิเคชันปลอมของบริการแชทยอดนิยม Telegram ซึ่งการสร้างแอปพลิเคชันปลอมในครั้งนี้จะมุ่งเน้นไปยังกลุ่มผู้ใช้งานอุปกรณ์ที่ทำงานบนระบบปฏิบัติการ Android ที่ไม่ได้บอกชื่อไว้ ซึ่งทางทีมวิจัยจาก BforeAI บริษัทผู้พัฒนาเครื่องมือสำหรับคาดการณ์ภัยไซเบอร์ด้วยระบบ AI ได้กล่าวว่า แคมเปญดังกล่าวนั้นคาดการณ์ว่าน่าจะมาจากประเทศจีน เนื่องจากเว็บไซต์ปลอมสำหรับการแพร่กระจายมัลแวร์นั้นถูกลงทะเบียนโดเมนผ่านทางบริการของ Gname ซึ่งเป็นบริการจดโดเมนของประเทศจีน และ เว็บไซต์ปลอมทั้งหมดนั้นล้วนถูกฝากไว้ยังบริการโฮสต์ในประเทศจีนทั้งสิ้น ซึ่งโดเมนที่เกี่ยวข้องกับแคมเปญแพร่กระจายมัลแวร์ดังกล่าวนั้นมีจำนวนมากถึง 607 โดเมน ที่มีการใช้งาน Top-Level Domain เพื่อสร้างความน่าเชื่อถืออีกด้วย โดย Top-Level Domain แต่ละชนิด และจำนวนเว็บไซต์ที่อยู่บน Top-Level Domain นั้น ๆ มีดังนี้
- .com: 316
- .top: 87
- .xyz: 59
- .online: 31
- .site: 24
ในส่วนของการหลอกเหยื่อเพื่อแพร่กระจายแอปพลิเคชันปลอมนั้น ทางแฮกเกอร์จะหลอกล่อด้วยวิธีการ Phishing ทั้งการส่งลิงก์ปลอม หรือ หลอกให้ดาวน์โหลดผ่านทาง QR Code ซึ่งหลังจากที่กด หรือ สแกนเป็นที่เรียบร้อยแล้ว ตัวลิงก์ก็จะพาเหยื่อไปยังเว็บไซต์ปลอมที่มีการตั้งชื่อคล้ายคลึงกับเว็บไซต์ Telegram ของแท้ เพื่อหลอกเหยื่อ ซึ่งมักจะตั้งชื่อว่า Teleqram, Telegramapp, และ Telegramdl เป็นต้น ซึ่งแฮกเกอร์ตีเนียนด้วยการสะกดให้ผิดหรือแตกต่างเพียงเล็กน้อย เพื่อให้ทั้งสามารถหลอกเหยื่อให้ตายใจ และสามารถจดทะเบียนแบบไม่ซ้ำกับต้นฉบับได้ ซึ่งบนเว็บไซต์เหล่านี้ ทางทีมวิจัยยังพบว่าบางเว็บไซต์เช่น telegramt(.)net ได้มีการฝัง JavaScript ที่มีชื่อว่า ajs.js เพื่อใช้ในการเก็บข้อมูลของเหยื่อเกี่ยวกับอุปกรณ์และเว็บเบราว์เซอร์ที่ใช้งานอยู่เพื่อส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ที่แฮกเกอร์ใช้งานอยู่ หลังจากนั้นตัวสคริปท์จะทำการยิงแบนเนอร์ให้ปรากฏบนหน้าเว็บไซต์ เพื่อกระตุ้นให้เหยื่อตัดสินใจดาวน์โหลด
ซึ่งหลังจากที่เหยื่อเข้าสู่เว็บไซต์ดังกล่าวแล้ว ตัวเว็บไซต์จากหลอกล่อให้เหยื่อดาวน์โหลดไฟล์สำหรับการติดตั้งแอปพลิเคชันที่แฝงมัลแวร์เอาไว้ ซึ่งตัวไฟล์ดังกล่าวนั้นจะมีขนาดประมาณ 60MB - 70MB โดยเมื่อติดตั้งสำเร็จ เบื้องหน้าเหยื่อจะสามารถใช้แอปพลิเคชันได้ตามปกติ แต่ตัวมัลแวร์จะทำงานอยู่เบื้องหลัง ซึ่งมัลแวร์ดังกล่าวนั้นมีความสามารถในการเข้าถึงสิทธิ์ในการใช้งาน (Permission) และมีความสามารถในการใช้งานคำสั่งจากระยะไกลเพื่อจัดการกับเครื่องของเหยื่อ (Remote Command Execution)
ทางทีมวิจัยได้เปิดเผยข้อมูลในเชิงเทคนิคว่า จากการตรวจสอบไฟล์ติดตั้งแล้ว พบว่าแฮกเกอร์นั้นได้ใช้ช่องโหว่ความปลอดภัย CVE-2017-13156 หรือมีอีกชื่อว่าช่องโหว่ยานุส (Janus Vulnerability) เป็นช่องโหว่บนระบบปฏิบัติการ Android ที่เปิดช่องให้รัน และติดตั้งไฟล์ APK ที่แฮกเกอร์สอดแทรกโค้ดมัลแวร์อันตรายลง โดยที่ไฟล์ APK นั้นจะต้องไม่มีการเปลี่ยนกุญแจเข้ารหัส (Cryptographic Signature) ซึ่งใช้ระบุตัวตนของไฟล์ติดตั้ง ทำให้แฮกเกอร์สามารถเนียนแทรกมัลแวร์ลงไปบนไฟล์ติดตั้งแอปที่ตัว Android อนุญาตให้ติดตั้งได้ โดยช่องโหว่ดังกล่าวนั้นจะมีผลบน Android ตั้งแต่รุ่นที่ 5 - 8 (แหล่งข่าวไม่ได้ระบุว่า Android รุ่นที่สูงกว่านั้นจะสามารถติดตั้งไฟล์ที่เป็นประเด็นนี้อยู่ได้หรือไม่) ในส่วนของฐานข้อมูล (Database) ที่แฮกเกอร์ใช้งานนั้นทางทีมวิจัยพบว่า แฮกเกอร์มีการใช้งานบนระบบ Firebase ของ Google หนึ่งในนั้นที่แฮกเกอร์เคยใช้งานและคาดว่าถูกเลิกใช้งานไปแล้วด้วยเหตุผลบางอย่าง นั่นคือ tmessages2(.)firebaseio(.)com ซึ่งถึงแม้ฐานข้อมูลดังกล่าวจะไม่ถูกใช้งานแล้ว ทีมวิจัยเตือนว่า ถ้าแฮกเกอร์ได้ทำการลงทะเบียนใหม่ในชื่อเดียวกัน ก็จะสามารถกู้ฐานข้อมูลนี้กลับคืนมาใช้งานใหม่ได้
ภาพจาก : https://hackread.com/fake-telegram-apps-domains-android-malware-attack/
นอกจากแคมเปญในการแพร่กระจายมัลแวร์ผ่านทางลิงก์และ QR Code แล้ว ทีมวิจัยยังพบว่าตัวเว็บไซต์ปลอมบางเว็บไซต์นั้นมีการพัฒนาให้รูปลักษณ์คล้ายกับบล็อก (Blog) ส่วนบุคคลที่ดูน่าเชื่อถือและไม่มีพิษภัย ซึ่งตัวเว็บไซต์นั้นได้มีการใช้ชุดคำบางชุดเพื่อขยายการมองเห็นผ่านทาง Search Engine ซึ่งชุดคำเหล่านี้นั้นจะถูกเขียนเป็นภาษาจีน เช่น “Paper Plane Official Website Download” โดยทางทีมวิจัยระบุว่าวิธีการดังกล่าวนั้นเป็นวิธีการแบบ SEO (Search Engine Optimization) เพื่อขยายกลุ่มของเหยื่อ อีกด้วย
ทางทีมวิจัยได้เตือนว่า สำหรับองค์กรธุรกิจต่าง ๆ เพื่อป้องกันตัวเองจากภัยไซเบอร์ จำเป็นที่จะต้องระมัดระวังเกี่ยวกับไฟล์ APK, ลิงก์, และไฟล์แนบต่าง ๆ ที่ต้องมีการสแกนเพื่อความปลอดภัยทุกครั้ง และในทางที่ดี ทางองค์กรควรบล็อกไฟล์ APK และไฟล์แนบแบบ SVG โดยสิ้นเชิงไปเลยเพราะว่าไฟล์ในรูปแบบดังกล่าวสามารถใช้เป็นที่ซ่อนโค้ดหรือมัลแวร์เพื่อแพร่กระจายในเครือข่ายองค์กรได้
➤ Website : https://www.thaiware.com
➤ Facebook : https://www.facebook.com/thaiware
➤ Twitter : https://www.twitter.com/thaiware
➤ YouTube : https://www.youtube.com/thaiwaretv