SUSE by Ingram

FireEye เผย Android Malware ตัวใหม่ Kemoge สามารถ Root เครื่องได้ และแพร่ระบาดมาถึงไทยแล้ว

fireeye_logo

FireEye ได้ตรวจพบ Mobile Malicious Adware ตระกูลใหม่ที่สามารถควบคุมเครื่อง Android ที่ติดเชื้อนี้ได้อย่างสมบูรณ์ และคาดว่าจะมีต้นตอมาจากจีน โดยทาง FireEye ได้ตั้งชื่อ Malicious Adware ตัวนี้ว่า Kemoge ตาม Domain Name ของ Command and Control (CnC) Server ว่า aps.kemoge.net โดยมีรายงานของผู้ที่ติด Kemoge นี้ในกว่า 20 ประเทศทั่วโลก รวมถึงประเทศไทย และมีการตรวจพบการแพร่ระบาดนี้ไปยังหน่วยงานรัฐและองค์กรขนาดใหญ่อีกด้วย

kemoge_infection_map

แพร่ระบาดโดยการปลอมเป็น App ชื่อดังและหลอกให้เหยื่อติดตั้ง

Kemoge นี้จะถูกแฝงมาในรูปแบบของ App อื่นๆ โดยผู้โจมตีจะทำการอัพโหลด App ปลอมเหล่านี้ขึ้นไปยัง 3rd Party App Store และหลอกให้เหยื่อทำการ Download ไปติดตั้งผ่านการโฆษณาบน Website และ In-app Ads โดยมีการตรวจพบ Ad Networks บางแห่งที่ใช้สิทธิ์ถึงขั้น Root นั้นก็ทำถึงขั้นติดตั้ง App ปลอมเหล่านี้ให้โดยอัตโนมัติเลยทีเดียว โดยรายชื่อของ App ที่ตรวจพบว่ามีการแฝง Kemoge มานั้นได้แก่

  • Talking Tom 3
  • Calculator
  • Shareit
  • Assistive Touch
  • WiFi Enhancer

 

เหยื่อถูกอัพโหลดข้อมูล, ถูก Root เครื่อง, ถูกควบคุมการ Install/Run/Uninstall App

เหยื่อที่ติด Kemoge ไปแล้วนั้น จะถูกอัพโหลดข้อมูลของเครื่องไปยัง Ad Server และถูกส่งโฆษณามาให้อย่างต่อเนื่องไม่ว่าจะทำอะไรอยู่ก็ตาม แม้แต่จะเปิดหน้า Home Screen ทิ้งไว้เฉยๆ ก็จะมีโฆษณาเปิดมาให้โดยอัตโนมัติด้วยเช่นกัน

ทั้งนี้ Kemoge ได้มาพร้อมกับเครื่องมือในการ Root เครื่องด้วย Root Exploit ถึง 8 ตัวด้วยกัน โดย Root Exploit ทั้ง 8 ตัวนี้จะถูกซ่อนอยู่ใน ZIP File ที่ถูกเข้ารหัสเอาไว้หลายชั้น, ใส่รหัสผ่านป้องกันการเปิด และปลอมนามสกุลตัวเองเป็น .mp4 โดยเมื่อ Kemoge ทำการ Root สำเร็จแล้ว ก็จะทำการฝัง AndroidRTService.apk ลงไปในเครื่องโดยปลอมตัวเป็น Launcher ที่ดูน่าเชื่อถือ

kemoge_attack_steps

หลบเลี่ยงการตรวจจับด้วยการติดต่อกับ CnC ให้น้อยที่สุด

Kemoge นี้ใช้วิธีการติดต่อกับ Command & Control (CnC) Server หรือ Server ที่จะคอยออกคำสั่งมายังเครื่อง Android ที่ติด Kemoge และทำการควบคุมนี้ให้น้อยที่สุด โดยจะทำการติดต่อกันเมื่อ Kemoge ทำงานครั้งแรก หรือติดต่อกันเมื่อเวลาผ่านไป 24 ชั่วโมงนับจากการได้ติดต่อกันครั้งสุดท้ายเท่านั้น

โดยในการติดต่อกันครั้งแรก Kemoge จะทำการส่งข้อมูล IMEI, IMSI, Storage Info และ Installed App Info ไปยัง CnC เสมอ และหลังจากนั้น CnC ก็จะส่งคำสั่งมาเพื่อ Uninstall/Launch/Download+Install App ตัวอย่างเช่น การสั่ง Uninstall Anti-virus App บน Android ออก เป็นต้น

 

คาดว่าต้นตอมาจากจีน

จากการตรวจสอบ Certificate ที่ติดตั้งอยู่ใน App ที่แฝง Kemoge มาเทียบกับ Certificate ใน Google Play นั้น พบว่าต้นตอนักพัฒนาน่าจะเป็นชาวจีน โดยเมื่อตรวจสอบ Comment ของ App ชื่อเดียวกันใน Google Play ก็พบว่าก่อนหน้านี้มีผู้ใช้งานรายงานปัญหาการใช้งานในลักษณะเดียวกับที่พบใน Kemoge และคาดว่านักพัฒนาน่าจะถอดการโจมตีนี้ออกจาก Google Play เพื่อสร้างความน่าเชื่อถือ แต่ก็ยังคงทิ้งร่องรอยการติดต่อบริการโฆษณาจาก adm.kemoge.net และ ads.kemoge.net เอาไว้อยู่ดี รวมถึงยังมีการติดต่อไปยัง taosha.cc สำหรับการอัพเกรดด้วย แต่เมื่อทีม FireEye เข้าไปตรวจสอบก็พบว่า Server เครื่องนั้นส่งแต่ค่า 404 ออกมาอยู่ตลอดวเลา ทำให้ต้องสงสัยว่า taosha.cc อาจเป็นอีกช่องทางหนึ่งสำหรับเอาไว้โจมตีในอนาคต

 

สรุป

ทาง FireEye มีข้อสันนิษฐานว่า Malicious Adware ตัวนี้ น่าจะถูกพัฒนาโดยนักพัฒนาชาวจีนหรือถูกควบคุมโดย Hacker ชาวจีน และกำแพร่ระบาดอย่างร้ายแรงไปทั่วโลก โดย FireEye ได้มีข้อแนะนำสำหรับผู้ที่ใช้งาน Android เพื่อปกป้องตัวเองให้ปลอดภัยดังต่อไปนี้

  • อย่าเปิด Link ที่น่าสงสัยจาก Email, SMS, Website และโฆษณาใดๆ
  • อย่าติดตั้ง App ที่ไม่ได้อยู่ใน App Store ที่น่าเชื่อถือ
  • หมั่นทำการอัพเดต Android อยู่เสมอ เพื่อไม่ให้ถูก Root ได้จากบั๊กต่างๆ ที่เป็นที่รู้จักอยู่แล้ว

 

สำหรับการตรวจจับ Kemoge ทาง FireEye ได้แนะนำให้ใช้งาน FireEye MTP เพื่อตรวจจับการโจมตีบนอุปกรณ์พกพา และทำการแก้ไขอุปกรณ์เหล่านั้นให้กลับมาปลอดภัย รวมถึงยังได้แนะนำให้ใช้ FireEye NX Appliace เพื่อตรวจสอบ Wi-Fi Traffic ให้ปลอดภัยขึ้นอีกด้วย

 

ที่มา: https://www.fireeye.com/blog/threat-research/2015/10/kemoge_another_mobi.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Lenovo Webinar: ชี้เทรนด์การศึกษายุคใหม่ สร้างสื่อการสอนยังไงให้โดนใจ [8 มี.ค. 2021 เวลา 14.00น.]

TechTalkThai ขอเรียนเชิญผู้บริหารสถาบันการศึกษา, คณาจารย์จากทุกระดับชั้นการสอน, ผู้ประกอบการด้านการศึกษา และผู้ที่สนใจทุกท่าน เข้าร่วมงาน TechTalk Webinar ในหัวข้อเรื่อง "ชี้เทรนด์การศึกษายุคใหม่ สร้างสื่อการสอนยังไงให้โดนใจ" เพื่อรับชมถึงบทวิเคราะห์ทุกแง่มุมด้านการเรียนการสอนสมัยใหม่ ว่าการเตรียมเนื้อหาการสอนควรเป็นอย่างไร สิ่งใดที่จะดึงดูดใจผู้เรียน และเทคโนโลยีใดบ้างที่จะมาช่วยให้การเรียนการสอนในแบบ Hybrid นี้สัมฤทธิ์ผลได้จริง ในวันจันทร์ที่ 8 มีนาคม 2021 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้

[Video Webinar] Networking Zero to Expert – The Tools Used by Experts in Their Day-to-day Operations

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Proen Webinar เรื่อง “Networking Zero to Expert: The Tools Used by Experts in Their …