FireEye ได้ตรวจพบ Mobile Malicious Adware ตระกูลใหม่ที่สามารถควบคุมเครื่อง Android ที่ติดเชื้อนี้ได้อย่างสมบูรณ์ และคาดว่าจะมีต้นตอมาจากจีน โดยทาง FireEye ได้ตั้งชื่อ Malicious Adware ตัวนี้ว่า Kemoge ตาม Domain Name ของ Command and Control (CnC) Server ว่า aps.kemoge.net โดยมีรายงานของผู้ที่ติด Kemoge นี้ในกว่า 20 ประเทศทั่วโลก รวมถึงประเทศไทย และมีการตรวจพบการแพร่ระบาดนี้ไปยังหน่วยงานรัฐและองค์กรขนาดใหญ่อีกด้วย
แพร่ระบาดโดยการปลอมเป็น App ชื่อดังและหลอกให้เหยื่อติดตั้ง
Kemoge นี้จะถูกแฝงมาในรูปแบบของ App อื่นๆ โดยผู้โจมตีจะทำการอัพโหลด App ปลอมเหล่านี้ขึ้นไปยัง 3rd Party App Store และหลอกให้เหยื่อทำการ Download ไปติดตั้งผ่านการโฆษณาบน Website และ In-app Ads โดยมีการตรวจพบ Ad Networks บางแห่งที่ใช้สิทธิ์ถึงขั้น Root นั้นก็ทำถึงขั้นติดตั้ง App ปลอมเหล่านี้ให้โดยอัตโนมัติเลยทีเดียว โดยรายชื่อของ App ที่ตรวจพบว่ามีการแฝง Kemoge มานั้นได้แก่
- Talking Tom 3
- Calculator
- Shareit
- Assistive Touch
- WiFi Enhancer
เหยื่อถูกอัพโหลดข้อมูล, ถูก Root เครื่อง, ถูกควบคุมการ Install/Run/Uninstall App
เหยื่อที่ติด Kemoge ไปแล้วนั้น จะถูกอัพโหลดข้อมูลของเครื่องไปยัง Ad Server และถูกส่งโฆษณามาให้อย่างต่อเนื่องไม่ว่าจะทำอะไรอยู่ก็ตาม แม้แต่จะเปิดหน้า Home Screen ทิ้งไว้เฉยๆ ก็จะมีโฆษณาเปิดมาให้โดยอัตโนมัติด้วยเช่นกัน
ทั้งนี้ Kemoge ได้มาพร้อมกับเครื่องมือในการ Root เครื่องด้วย Root Exploit ถึง 8 ตัวด้วยกัน โดย Root Exploit ทั้ง 8 ตัวนี้จะถูกซ่อนอยู่ใน ZIP File ที่ถูกเข้ารหัสเอาไว้หลายชั้น, ใส่รหัสผ่านป้องกันการเปิด และปลอมนามสกุลตัวเองเป็น .mp4 โดยเมื่อ Kemoge ทำการ Root สำเร็จแล้ว ก็จะทำการฝัง AndroidRTService.apk ลงไปในเครื่องโดยปลอมตัวเป็น Launcher ที่ดูน่าเชื่อถือ
หลบเลี่ยงการตรวจจับด้วยการติดต่อกับ CnC ให้น้อยที่สุด
Kemoge นี้ใช้วิธีการติดต่อกับ Command & Control (CnC) Server หรือ Server ที่จะคอยออกคำสั่งมายังเครื่อง Android ที่ติด Kemoge และทำการควบคุมนี้ให้น้อยที่สุด โดยจะทำการติดต่อกันเมื่อ Kemoge ทำงานครั้งแรก หรือติดต่อกันเมื่อเวลาผ่านไป 24 ชั่วโมงนับจากการได้ติดต่อกันครั้งสุดท้ายเท่านั้น
โดยในการติดต่อกันครั้งแรก Kemoge จะทำการส่งข้อมูล IMEI, IMSI, Storage Info และ Installed App Info ไปยัง CnC เสมอ และหลังจากนั้น CnC ก็จะส่งคำสั่งมาเพื่อ Uninstall/Launch/Download+Install App ตัวอย่างเช่น การสั่ง Uninstall Anti-virus App บน Android ออก เป็นต้น
คาดว่าต้นตอมาจากจีน
จากการตรวจสอบ Certificate ที่ติดตั้งอยู่ใน App ที่แฝง Kemoge มาเทียบกับ Certificate ใน Google Play นั้น พบว่าต้นตอนักพัฒนาน่าจะเป็นชาวจีน โดยเมื่อตรวจสอบ Comment ของ App ชื่อเดียวกันใน Google Play ก็พบว่าก่อนหน้านี้มีผู้ใช้งานรายงานปัญหาการใช้งานในลักษณะเดียวกับที่พบใน Kemoge และคาดว่านักพัฒนาน่าจะถอดการโจมตีนี้ออกจาก Google Play เพื่อสร้างความน่าเชื่อถือ แต่ก็ยังคงทิ้งร่องรอยการติดต่อบริการโฆษณาจาก adm.kemoge.net และ ads.kemoge.net เอาไว้อยู่ดี รวมถึงยังมีการติดต่อไปยัง taosha.cc สำหรับการอัพเกรดด้วย แต่เมื่อทีม FireEye เข้าไปตรวจสอบก็พบว่า Server เครื่องนั้นส่งแต่ค่า 404 ออกมาอยู่ตลอดวเลา ทำให้ต้องสงสัยว่า taosha.cc อาจเป็นอีกช่องทางหนึ่งสำหรับเอาไว้โจมตีในอนาคต
สรุป
ทาง FireEye มีข้อสันนิษฐานว่า Malicious Adware ตัวนี้ น่าจะถูกพัฒนาโดยนักพัฒนาชาวจีนหรือถูกควบคุมโดย Hacker ชาวจีน และกำแพร่ระบาดอย่างร้ายแรงไปทั่วโลก โดย FireEye ได้มีข้อแนะนำสำหรับผู้ที่ใช้งาน Android เพื่อปกป้องตัวเองให้ปลอดภัยดังต่อไปนี้
- อย่าเปิด Link ที่น่าสงสัยจาก Email, SMS, Website และโฆษณาใดๆ
- อย่าติดตั้ง App ที่ไม่ได้อยู่ใน App Store ที่น่าเชื่อถือ
- หมั่นทำการอัพเดต Android อยู่เสมอ เพื่อไม่ให้ถูก Root ได้จากบั๊กต่างๆ ที่เป็นที่รู้จักอยู่แล้ว
สำหรับการตรวจจับ Kemoge ทาง FireEye ได้แนะนำให้ใช้งาน FireEye MTP เพื่อตรวจจับการโจมตีบนอุปกรณ์พกพา และทำการแก้ไขอุปกรณ์เหล่านั้นให้กลับมาปลอดภัย รวมถึงยังได้แนะนำให้ใช้ FireEye NX Appliace เพื่อตรวจสอบ Wi-Fi Traffic ให้ปลอดภัยขึ้นอีกด้วย
ที่มา: https://www.fireeye.com/blog/threat-research/2015/10/kemoge_another_mobi.html