Breaking News

FireEye เผย Android Malware ตัวใหม่ Kemoge สามารถ Root เครื่องได้ และแพร่ระบาดมาถึงไทยแล้ว

fireeye_logo

FireEye ได้ตรวจพบ Mobile Malicious Adware ตระกูลใหม่ที่สามารถควบคุมเครื่อง Android ที่ติดเชื้อนี้ได้อย่างสมบูรณ์ และคาดว่าจะมีต้นตอมาจากจีน โดยทาง FireEye ได้ตั้งชื่อ Malicious Adware ตัวนี้ว่า Kemoge ตาม Domain Name ของ Command and Control (CnC) Server ว่า aps.kemoge.net โดยมีรายงานของผู้ที่ติด Kemoge นี้ในกว่า 20 ประเทศทั่วโลก รวมถึงประเทศไทย และมีการตรวจพบการแพร่ระบาดนี้ไปยังหน่วยงานรัฐและองค์กรขนาดใหญ่อีกด้วย

kemoge_infection_map

แพร่ระบาดโดยการปลอมเป็น App ชื่อดังและหลอกให้เหยื่อติดตั้ง

Kemoge นี้จะถูกแฝงมาในรูปแบบของ App อื่นๆ โดยผู้โจมตีจะทำการอัพโหลด App ปลอมเหล่านี้ขึ้นไปยัง 3rd Party App Store และหลอกให้เหยื่อทำการ Download ไปติดตั้งผ่านการโฆษณาบน Website และ In-app Ads โดยมีการตรวจพบ Ad Networks บางแห่งที่ใช้สิทธิ์ถึงขั้น Root นั้นก็ทำถึงขั้นติดตั้ง App ปลอมเหล่านี้ให้โดยอัตโนมัติเลยทีเดียว โดยรายชื่อของ App ที่ตรวจพบว่ามีการแฝง Kemoge มานั้นได้แก่

  • Talking Tom 3
  • Calculator
  • Shareit
  • Assistive Touch
  • WiFi Enhancer

 

เหยื่อถูกอัพโหลดข้อมูล, ถูก Root เครื่อง, ถูกควบคุมการ Install/Run/Uninstall App

เหยื่อที่ติด Kemoge ไปแล้วนั้น จะถูกอัพโหลดข้อมูลของเครื่องไปยัง Ad Server และถูกส่งโฆษณามาให้อย่างต่อเนื่องไม่ว่าจะทำอะไรอยู่ก็ตาม แม้แต่จะเปิดหน้า Home Screen ทิ้งไว้เฉยๆ ก็จะมีโฆษณาเปิดมาให้โดยอัตโนมัติด้วยเช่นกัน

ทั้งนี้ Kemoge ได้มาพร้อมกับเครื่องมือในการ Root เครื่องด้วย Root Exploit ถึง 8 ตัวด้วยกัน โดย Root Exploit ทั้ง 8 ตัวนี้จะถูกซ่อนอยู่ใน ZIP File ที่ถูกเข้ารหัสเอาไว้หลายชั้น, ใส่รหัสผ่านป้องกันการเปิด และปลอมนามสกุลตัวเองเป็น .mp4 โดยเมื่อ Kemoge ทำการ Root สำเร็จแล้ว ก็จะทำการฝัง AndroidRTService.apk ลงไปในเครื่องโดยปลอมตัวเป็น Launcher ที่ดูน่าเชื่อถือ

kemoge_attack_steps

หลบเลี่ยงการตรวจจับด้วยการติดต่อกับ CnC ให้น้อยที่สุด

Kemoge นี้ใช้วิธีการติดต่อกับ Command & Control (CnC) Server หรือ Server ที่จะคอยออกคำสั่งมายังเครื่อง Android ที่ติด Kemoge และทำการควบคุมนี้ให้น้อยที่สุด โดยจะทำการติดต่อกันเมื่อ Kemoge ทำงานครั้งแรก หรือติดต่อกันเมื่อเวลาผ่านไป 24 ชั่วโมงนับจากการได้ติดต่อกันครั้งสุดท้ายเท่านั้น

โดยในการติดต่อกันครั้งแรก Kemoge จะทำการส่งข้อมูล IMEI, IMSI, Storage Info และ Installed App Info ไปยัง CnC เสมอ และหลังจากนั้น CnC ก็จะส่งคำสั่งมาเพื่อ Uninstall/Launch/Download+Install App ตัวอย่างเช่น การสั่ง Uninstall Anti-virus App บน Android ออก เป็นต้น

 

คาดว่าต้นตอมาจากจีน

จากการตรวจสอบ Certificate ที่ติดตั้งอยู่ใน App ที่แฝง Kemoge มาเทียบกับ Certificate ใน Google Play นั้น พบว่าต้นตอนักพัฒนาน่าจะเป็นชาวจีน โดยเมื่อตรวจสอบ Comment ของ App ชื่อเดียวกันใน Google Play ก็พบว่าก่อนหน้านี้มีผู้ใช้งานรายงานปัญหาการใช้งานในลักษณะเดียวกับที่พบใน Kemoge และคาดว่านักพัฒนาน่าจะถอดการโจมตีนี้ออกจาก Google Play เพื่อสร้างความน่าเชื่อถือ แต่ก็ยังคงทิ้งร่องรอยการติดต่อบริการโฆษณาจาก adm.kemoge.net และ ads.kemoge.net เอาไว้อยู่ดี รวมถึงยังมีการติดต่อไปยัง taosha.cc สำหรับการอัพเกรดด้วย แต่เมื่อทีม FireEye เข้าไปตรวจสอบก็พบว่า Server เครื่องนั้นส่งแต่ค่า 404 ออกมาอยู่ตลอดวเลา ทำให้ต้องสงสัยว่า taosha.cc อาจเป็นอีกช่องทางหนึ่งสำหรับเอาไว้โจมตีในอนาคต

 

สรุป

ทาง FireEye มีข้อสันนิษฐานว่า Malicious Adware ตัวนี้ น่าจะถูกพัฒนาโดยนักพัฒนาชาวจีนหรือถูกควบคุมโดย Hacker ชาวจีน และกำแพร่ระบาดอย่างร้ายแรงไปทั่วโลก โดย FireEye ได้มีข้อแนะนำสำหรับผู้ที่ใช้งาน Android เพื่อปกป้องตัวเองให้ปลอดภัยดังต่อไปนี้

  • อย่าเปิด Link ที่น่าสงสัยจาก Email, SMS, Website และโฆษณาใดๆ
  • อย่าติดตั้ง App ที่ไม่ได้อยู่ใน App Store ที่น่าเชื่อถือ
  • หมั่นทำการอัพเดต Android อยู่เสมอ เพื่อไม่ให้ถูก Root ได้จากบั๊กต่างๆ ที่เป็นที่รู้จักอยู่แล้ว

 

สำหรับการตรวจจับ Kemoge ทาง FireEye ได้แนะนำให้ใช้งาน FireEye MTP เพื่อตรวจจับการโจมตีบนอุปกรณ์พกพา และทำการแก้ไขอุปกรณ์เหล่านั้นให้กลับมาปลอดภัย รวมถึงยังได้แนะนำให้ใช้ FireEye NX Appliace เพื่อตรวจสอบ Wi-Fi Traffic ให้ปลอดภัยขึ้นอีกด้วย

 

ที่มา: https://www.fireeye.com/blog/threat-research/2015/10/kemoge_another_mobi.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่ใหม่กว่า 120 รายการบน Router และ NAS ยอดนิยม

รายงาน SOHOpelessly Broken 2.0 จาก Independent Security Evaluators (ISE) เปิดเผยว่า พบช่องโหว่ด้านความมั่นคงปลอดภัยใหม่รวมทั้งสิ้น 125 รายการบนอุปกรณ์ Router และ …

เตือนช่องโหว่ Zero-day กระทบ phpMyAdmin ทุกเวอร์ชัน

Manuel Garcia Cardenas นักวิจัยด้านความมั่นคงปลอดภัยและ Pentester ได้ออกมาเปิดเผยถึงช่องโหว่ Zero-day บน phpMyAdmin ที่ยังไม่ถูกแพตช์ พร้อมหลักฐาน PoC ซึ่งช่วยให้แฮ็กเกอร์โจมตีแบบ Cross-site Request …