CardBuyer: โทรจันขั้นเทพตัวใหม่บน Android

palo_alto_logo

วันที่ 21 เมษายนที่ผ่านมา Cloud-based Anti-malware ของ Palo Alto Networks หรือ WildFire ค้นพบโทรจันบนระบบ Android ชนิดใหม่ ซึ่งขณะนี้ VirusTotal ยังไม่สามารถตรวจจับได้ โดยโทรจันตัวนี้ใช้การผสมผสานเทคนิคเพื่อขโมยเงินจากเหยื่อ เมื่อตรวจสอบโค้ดและการแพร่กระจายที่มีขอบเขตจำกัด Palo Alto เชื่อว่าโทรจันดังกล่าวยังอยู่ในช่วงทดสอบ ก่อนที่จะปล่อยเข้าสู่ App Store และช่องทางอื่นๆ Palo Alto เรียกโทรจันชนิดนี้ว่า “CardBuyer” เนื่องจากมันสามารถเปลี่ยนการติดต่อเป็นเงินแก่แฮ็คเกอร์ได้

CardBuyer มีความฉลาดมากกว่าโทรจันบน Android ชนิดอื่นๆ เนื่องจากมันสามารถจัดการ CAPTCHA, จำลองพฤติกรรมของผู้ใช้งาน และวิเคราะห์ข้อความ SMS จากหลาย Vendor รวมทั้งสามารถตอบกลับข้อความเพื่อยืนยันตัวเองได้โดยอัตโนมัติอีกด้วย Palo Alto ได้ทำการวิเคราะห์โค้ดแล้ว พบว่าโทรจันตัวนี้สามารถทะลุผ่านการยืนยันตัวตนแบบหลายองค์ประกอบ (Multi-Factor Varification) ของหลายบริษัทเกมส์, การชำระเงินออนไลน์ และสามารถปลอมตัวเป็นผู้ใช้งานโทรศัพท์มือถือเพื่อทำการสั่งซื้อของได้

CardBuyer มีเป้าหมายเฉพาะเจาะจงที่เกมส์ของประเทศจีน และบนโทรศัพท์มือถือ ซึ่งโทรจันนี้จะทำการสั่งซื้อ Prepaid หรือ Top-up Card โดยใช้ชื่อบัญชีของเหยื่อ จากนั้นจะเปลี่ยนพวกมันไปเป็นเงินสด ช่องทางการยืนยันตัวตนผ่าน SMS นั้นถูกยืนยันแล้วว่าโทรจันชนิดนี้สามารถปลอมพฤติกรรมและจัดการยืนยันด้วยตัวเองได้

เป้าหมายของ CardBuyer ณ ขณะนี้ทั้งหมดเป็นบริการของประเทศจีน นื่องจากหลายบริการของจีนจะใช้วิธียืนยันตัวตนและการสั่งซื้อผ่านทาง SMS

  • The online purchase platform by China Mobile (中国移动通信账户支付)
  • The Wo Store of China Unicom (中国联通沃商店)
  • The Huajian Networks of China Unicom (联通华建网络)
  • Upay online recharge service of China Unicom
  • Platform of China Telecom (中国电信)
  • The Giant Interactive (巨人网络)
  • The SNDA (盛大)
  • The Perfect World (完美世界)
  • Y Coin by Duowan YY (多玩Y币)
  • Debit card of 91 Purchase Platform (91充值平台)
  • The V Coin (V币)
  • และการชำระเงินแบบอื่นๆที่ส่ง SMS โดยมีหนึ่งในข้อความเหล่านี้ระบุอยู่ “支付” (ชำระเงิน), “卡号” (หมายเลขบัตร), “密码”(รหัสผ่าน) หรือ “客服” (ลูกค้า)

ขั้นตอนการทำงานของ CardBuyer

ตัวอย่างที่ WildFire ตรวจจับได้มาจากการปลอมเป็นแอพพลิเคชัน 18+ ชื่อว่า “看片神器” และใช้รูปไอคอนเป็นผู้หญิงเซ็กซี่ ซึ่งมาจากนักศึกษาในมหาวิทยาลัยแห่งหนึ่งในประเทศจีนที่ดาวน์โหลดไฟล์ Android APK จาก fdown.u.qiniudn.com ซึ่งเป็นบริการจัดเก็บไฟล์บนระบบคลาวด์ของประเทศจีน

1. หลังติดตั้ง CardBuyer จะทำงานอัตโนมัติบนแบ็คกราวด์ แล้วส่งข้อมูลไปบอกแฮ็คเกอร์ว่า Android เครื่องดังกล่าวติดโทรจันแล้ว ที่ http://14.17.95.205:21910/my/service.php

2. CardBuyer ทะลุผ่าน CAPCHA ของ tianxiafu.cn ซึ่งเป็นเกตเวย์ของการซื้อ Prepaid Card เกมส์ Perfect World โดยดาวน์โหลดรูป CAPTCHA และใช้อัลกอริธึมของ UUDama ซึ่ง WildFire สามารถระบุชื่อผู้ใช้ “liweixw” และรหัสผ่านของแฮ็คเกอร์ที่ใช้ UUDama ไว้ได้

หน้า CAPTCHA ของ tianxiafu.cn
รูปที่ 2-1 หน้า CAPTCHA ของ tianxiafu.cn
รูปที่ 2-2 CardBuyer ดึงรูป CAPTCHA มาแล้วเรียกใช้อัลกอริธึมของ UUDama
รูปที่ 2-2 CardBuyer ดึงรูป CAPTCHA มาแล้วเรียกใช้อัลกอริธึมของ UUDama
รูปที่ 2-3 CardBuyer เข้าใช้ UUDama ด้วยชื่อผู้ใช้ของแฮ็คเกอร์
รูปที่ 2-3 CardBuyer เข้าใช้ UUDama ด้วยชื่อผู้ใช้ของแฮ็คเกอร์

3. หลังจากผ่าน CAPTCHA แล้ว CardBuyer สร้าง POST request ซึ่งประกอบด้วยข้อมูลที่ใช้ในการสั่งซื้อ รวมทั้งเบอร์โทรศัพท์ ซึ่งเชื่อมโยงกับชื่อบัญชีของเหยื่อ นอกจากนี้ ยังทำการแปลง User-Agent ให้ปรากฏเป็นการร้องขอจาก IE9 ที่ทำงานบน Windows 7 เพื่อป้องกันการปฏิเสธคำร้องจากเซิฟเวอร์

รูปที่ 3 CardBuyer ระบุหมายเลขโทรศัพท์ของเหยื่อและเลือกชำระเงินผ่าน SMS
รูปที่ 3 CardBuyer ระบุหมายเลขโทรศัพท์ของเหยื่อและเลือกชำระเงินผ่าน SMS

4. tianxiafu.cn จะทำการยืนยันตัวตนโดยการสร้าง One-Time-Code บนหน้าเว็บไซต์ แล้วให้ผู้ร้องขอ (เหยื่อ) พิมพ์ One-Time-Code เป็น SMS ส่งกลับมาตามหมายเลขที่ระบุ

รูปที่ 4 บริการชำระเงินออนไลน์ร้องขอให้ผู้ใช้งาน (เหยื่อ) ส่ง One-Time-Code กลับมายังหมายเลขโทรศัพท์ที่ระบุ
รูปที่ 4 บริการชำระเงินออนไลน์ร้องขอให้ผู้ใช้งานส่ง One-Time-Code กลับมายังหมายเลขโทรศัพท์ที่ระบุ

5. CardBuyer จะใช้ Regular Expression ในการวิเคราะห์ One-Time-Code และหมายเลขโทรศัพท์ จากนั้นเรียกใช้ SMS API ของ Android ในการส่งข้อความกลับ

cardbuyer_5
รูปที่ 5 CardBuyer วิเคราะห์โค้ดและหมายเลขโทรศัพท์

6. หลังจากได้รับ One-Time-Code แล้ว Vendor จะส่ง SMS ไปยังเหยื่อเพื่อยืนยันตัวอีกครั้งหนึ่ง ซึ่ง SMS นี้จะถูกดักจับ และอัพโหลดขึ้นไปยังเซิฟเวอร์ C&C ของ CardBuyer แทน

รูปที่ 6 SMS ของ Vendor จะถูกดักจับและอัพโหลดขึ้นเซิฟเวอร์ C&C แทน
รูปที่ 6 SMS ของ Vendor จะถูกดักจับและอัพโหลดขึ้นเซิฟเวอร์ C&C แทน

7. CardBuyer จะทำการวิเคราะห์เนื้อหาของ SMS เพื่อระบุว่าเป็นของ Vendor ใด แล้วทำการส่ง SMS ยืนยันกลับไป ซึ่ง CardBuyer ถือว่าเป็นโทรจันที่มีศักยภาพสูงมากในการตอบสนองต่อเนื้อหาใน SMS จากหลาย Vendor

รูปที่ 7-1 CardBuyer จะตรวจสอบเนื้อหาของ SMS เพื่อระบุว่ามาจาก Vendor ใด
รูปที่ 7-1 CardBuyer ตรวจสอบเนื้อหาของ SMS เพื่อระบุว่ามาจาก Vendor ใด
รูปที่ 7-2 CardBuyer ส่ง SMS เพื่อยืนยันตัวตนขั้นตอนสุดท้าย
รูปที่ 7-2 CardBuyer ส่ง SMS เพื่อยืนยันตัวตนขั้นตอนสุดท้าย

8. Vendor จะส่งโค้ดสำหรับใช้เปลี่ยนเป็นเงินในเกมส์นั้นๆ (เช่น Perfect World) ผ่านทาง SMS ซึ่งแฮ็คเกอร์สามารถนำโค้ดนั้นไปขายต่อได้ทันที

นอกจากบริการของ tianxiafu.cn แล้ว Vendor อื่นๆที่อยู่ในรายการด้านบนต่างมีโค้ดที่ใช้เพื่อทะลุผ่านการยืนยันตัวตนในรูปแบบของ SMS ทั้งหมด อย่างไรก็ตาม Palo Alto ได้ทำการอัพเดทฐานข้อมูลภัยคุกคามใหม่เพื่อป้องกันโทรจันชนิดนี้เป็นที่เรียบร้อยแล้ว (สำหรับ NGFW ที่ใช้งานฟังก์ชัน Threat Prevention เท่านั้น)

ที่มา: http://researchcenter.paloaltonetworks.com/2014/04/cardbuyer-new-smart-android-trojan/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

SonicWall เตือนช่องโหว่ Zero-day ใน SMA 1000 ให้ผู้ใช้อัปเดตด่วน!

พบการโจมตีในโซลูชัน SonicWall SMA 1000 Appliance Management Console (AMC) และ Central Management Console (CMC) ที่เป็นโซลูชันสำหรับรวมศูนย์การบริหารจัดการ โดยช่องโหว่มีความร้ายแรงที่ …

Cisco อุดช่องโหว่ร้ายแรงให้โซลูชัน Meeting Management

Cisco ได้ประกาศอุดหลายช่องโหว่ในผลิตภัณฑ์ Meeting Management เป็นช่องโหว่ร้ายแรง รวมถึงช่องโหว่ใน Cisco BroadWorks และ ClamAV ที่พบโค้ดสาธิตแล้ว

Leave a Reply