FireEye เผย Android Malware ตัวใหม่ Kemoge สามารถ Root เครื่องได้ และแพร่ระบาดมาถึงไทยแล้ว

fireeye_logo

FireEye ได้ตรวจพบ Mobile Malicious Adware ตระกูลใหม่ที่สามารถควบคุมเครื่อง Android ที่ติดเชื้อนี้ได้อย่างสมบูรณ์ และคาดว่าจะมีต้นตอมาจากจีน โดยทาง FireEye ได้ตั้งชื่อ Malicious Adware ตัวนี้ว่า Kemoge ตาม Domain Name ของ Command and Control (CnC) Server ว่า aps.kemoge.net โดยมีรายงานของผู้ที่ติด Kemoge นี้ในกว่า 20 ประเทศทั่วโลก รวมถึงประเทศไทย และมีการตรวจพบการแพร่ระบาดนี้ไปยังหน่วยงานรัฐและองค์กรขนาดใหญ่อีกด้วย

kemoge_infection_map

แพร่ระบาดโดยการปลอมเป็น App ชื่อดังและหลอกให้เหยื่อติดตั้ง

Kemoge นี้จะถูกแฝงมาในรูปแบบของ App อื่นๆ โดยผู้โจมตีจะทำการอัพโหลด App ปลอมเหล่านี้ขึ้นไปยัง 3rd Party App Store และหลอกให้เหยื่อทำการ Download ไปติดตั้งผ่านการโฆษณาบน Website และ In-app Ads โดยมีการตรวจพบ Ad Networks บางแห่งที่ใช้สิทธิ์ถึงขั้น Root นั้นก็ทำถึงขั้นติดตั้ง App ปลอมเหล่านี้ให้โดยอัตโนมัติเลยทีเดียว โดยรายชื่อของ App ที่ตรวจพบว่ามีการแฝง Kemoge มานั้นได้แก่

  • Talking Tom 3
  • Calculator
  • Shareit
  • Assistive Touch
  • WiFi Enhancer

 

เหยื่อถูกอัพโหลดข้อมูล, ถูก Root เครื่อง, ถูกควบคุมการ Install/Run/Uninstall App

เหยื่อที่ติด Kemoge ไปแล้วนั้น จะถูกอัพโหลดข้อมูลของเครื่องไปยัง Ad Server และถูกส่งโฆษณามาให้อย่างต่อเนื่องไม่ว่าจะทำอะไรอยู่ก็ตาม แม้แต่จะเปิดหน้า Home Screen ทิ้งไว้เฉยๆ ก็จะมีโฆษณาเปิดมาให้โดยอัตโนมัติด้วยเช่นกัน

ทั้งนี้ Kemoge ได้มาพร้อมกับเครื่องมือในการ Root เครื่องด้วย Root Exploit ถึง 8 ตัวด้วยกัน โดย Root Exploit ทั้ง 8 ตัวนี้จะถูกซ่อนอยู่ใน ZIP File ที่ถูกเข้ารหัสเอาไว้หลายชั้น, ใส่รหัสผ่านป้องกันการเปิด และปลอมนามสกุลตัวเองเป็น .mp4 โดยเมื่อ Kemoge ทำการ Root สำเร็จแล้ว ก็จะทำการฝัง AndroidRTService.apk ลงไปในเครื่องโดยปลอมตัวเป็น Launcher ที่ดูน่าเชื่อถือ

kemoge_attack_steps

หลบเลี่ยงการตรวจจับด้วยการติดต่อกับ CnC ให้น้อยที่สุด

Kemoge นี้ใช้วิธีการติดต่อกับ Command & Control (CnC) Server หรือ Server ที่จะคอยออกคำสั่งมายังเครื่อง Android ที่ติด Kemoge และทำการควบคุมนี้ให้น้อยที่สุด โดยจะทำการติดต่อกันเมื่อ Kemoge ทำงานครั้งแรก หรือติดต่อกันเมื่อเวลาผ่านไป 24 ชั่วโมงนับจากการได้ติดต่อกันครั้งสุดท้ายเท่านั้น

โดยในการติดต่อกันครั้งแรก Kemoge จะทำการส่งข้อมูล IMEI, IMSI, Storage Info และ Installed App Info ไปยัง CnC เสมอ และหลังจากนั้น CnC ก็จะส่งคำสั่งมาเพื่อ Uninstall/Launch/Download+Install App ตัวอย่างเช่น การสั่ง Uninstall Anti-virus App บน Android ออก เป็นต้น

 

คาดว่าต้นตอมาจากจีน

จากการตรวจสอบ Certificate ที่ติดตั้งอยู่ใน App ที่แฝง Kemoge มาเทียบกับ Certificate ใน Google Play นั้น พบว่าต้นตอนักพัฒนาน่าจะเป็นชาวจีน โดยเมื่อตรวจสอบ Comment ของ App ชื่อเดียวกันใน Google Play ก็พบว่าก่อนหน้านี้มีผู้ใช้งานรายงานปัญหาการใช้งานในลักษณะเดียวกับที่พบใน Kemoge และคาดว่านักพัฒนาน่าจะถอดการโจมตีนี้ออกจาก Google Play เพื่อสร้างความน่าเชื่อถือ แต่ก็ยังคงทิ้งร่องรอยการติดต่อบริการโฆษณาจาก adm.kemoge.net และ ads.kemoge.net เอาไว้อยู่ดี รวมถึงยังมีการติดต่อไปยัง taosha.cc สำหรับการอัพเกรดด้วย แต่เมื่อทีม FireEye เข้าไปตรวจสอบก็พบว่า Server เครื่องนั้นส่งแต่ค่า 404 ออกมาอยู่ตลอดวเลา ทำให้ต้องสงสัยว่า taosha.cc อาจเป็นอีกช่องทางหนึ่งสำหรับเอาไว้โจมตีในอนาคต

 

สรุป

ทาง FireEye มีข้อสันนิษฐานว่า Malicious Adware ตัวนี้ น่าจะถูกพัฒนาโดยนักพัฒนาชาวจีนหรือถูกควบคุมโดย Hacker ชาวจีน และกำแพร่ระบาดอย่างร้ายแรงไปทั่วโลก โดย FireEye ได้มีข้อแนะนำสำหรับผู้ที่ใช้งาน Android เพื่อปกป้องตัวเองให้ปลอดภัยดังต่อไปนี้

  • อย่าเปิด Link ที่น่าสงสัยจาก Email, SMS, Website และโฆษณาใดๆ
  • อย่าติดตั้ง App ที่ไม่ได้อยู่ใน App Store ที่น่าเชื่อถือ
  • หมั่นทำการอัพเดต Android อยู่เสมอ เพื่อไม่ให้ถูก Root ได้จากบั๊กต่างๆ ที่เป็นที่รู้จักอยู่แล้ว

 

สำหรับการตรวจจับ Kemoge ทาง FireEye ได้แนะนำให้ใช้งาน FireEye MTP เพื่อตรวจจับการโจมตีบนอุปกรณ์พกพา และทำการแก้ไขอุปกรณ์เหล่านั้นให้กลับมาปลอดภัย รวมถึงยังได้แนะนำให้ใช้ FireEye NX Appliace เพื่อตรวจสอบ Wi-Fi Traffic ให้ปลอดภัยขึ้นอีกด้วย

 

ที่มา: https://www.fireeye.com/blog/threat-research/2015/10/kemoge_another_mobi.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] Cybersecurity สำหรับธุรกิจขนาดเล็ก

ธุรกิจแบบไหนบ้างที่มีความเสี่ยงด้านความมั่นคงปลอดภัยบนโลกไซเบอร์ สำหรับเจ้าของธุรกิจขนาดเล็กแล้ว มีอุปสรรคมากมายที่ต้องเผชิญ รวมถึงความมั่นคงปลอดภัยของเทคโนโลยี เพราะทุกความเสี่ยงย่อมสร้างความเสียหายให้กับธุรกิจ และคำแนะนำส่วนมากก็มักเขียนสำหรับองค์กรใหญ่ๆ วันนี้เราจึงอยากพูดถึงความมั่นคงปลอดภัยไซเบอร์สำหรับธุรกิจขนาดเล็ก

TechTalk Webinar: ยกระดับการจัดการคลังสินค้าสู่ระบบดิจิทัล ด้วย Infor Warehouse Management System โดย Infor

Infor ขอเรียนเชิญเหล่าผู้บริหารธุรกิจและผู้จัดการ IT ในอุตสาหกรรมโรงงานและการผลิต, ค้าปลีก รวมถึง Logistics เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "ยกระดับการจัดการคลังสินค้าสู่ระบบดิจิทัล ด้วย Infor Warehouse Management System โดย Infor" เพื่อทำความรู้จักกับเทคโนโลยี Warehouse Management สมัยใหม่ ในวันศุกร์ที่ 5 กรกฎาคม 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้