[PR] แคสเปอร์สกี้ แลป พบ Triada มัลแวร์โมบายใหม่ บุกรุกสมองของแอนดรอยด์

ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ตรวจพบไทรอาด้า ( Triada ) โทรจันตัวใหม่ล่าสุดที่มุ่งโจมตีโมบายดีไวซ์ระบบแอนดรอยด์เวอร์ชั่น 4.4.4 และเวอร์ชั่นต่ำกว่า มีความซับซ้อนเทียบเท่ามัลแวร์ระบบวินโดวส์ เขียนขึ้นโดยอาชญากรไซเบอร์ที่มีความเชี่ยวชาญ

kaspersky-lab-triada-trojan

จากผลการวิจัยล่าสุดของแคสเปอร์สกี้ แลป เรื่อง “Mobile malware evolution 2015” พบว่า โทรจันยอดฮิต 20 รายการในปี 2015 นั้น จำนวนเกือบครึ่งเป็นมัลแวร์ที่มีความสามารถในการแอคเซสข้อมูลแบบซุปเปอร์ยูสเซอร์ ซึ่งจะให้สิทธิ์แก่โจรไซเบอร์ในการติดตั้งแอพพลิเคชั่นบนมือถือโดยที่เจ้าของไม่รู้ตัว

มัลแวร์ประเภทนี้จะแพร่กระจายผ่านแอพพลิเคชั่นที่ผู้ใช้งานดาวน์โหลดหรือติดตั้งจากแหล่งที่ไม่น่าเชื่อถือ บางครั้งแอพพลิเคชั่นเหล่านี้ก็พบได้ในแอพสโตร์ของกูเกิ้ล แฝงตัวมาในรูปของเกมและแอพบันเทิง อาจติดตั้งลงเครื่องระหว่างการอัพเดทแอพอื่น ๆ และอาจติดตั้งไว้ในเครื่องไว้ก่อนแล้ว

โมบายโทรจันที่มีสิทธิ์เข้าถึงรูทได้ มีทั้งหมด 11 ตระกูล โดยมี 3 ตระกูล คือ Ztorg, Gorpo และ Leech ที่ทำงานร่วมกัน ดีไวซ์ที่ติดเชื้อโทรจันเหล่านี้จะแอคเซสเน็ตเวิร์ก และสร้างบ็อตเน็ตสำหรับติดตั้งแอดแวร์

นอกจากนี้ เมื่อทำการรูทเครื่องแล้ว โทรจันจะดาวน์โหลดและติดตั้งแบ็คดอร์ จากนั้นจะดาวน์โหลดและเปิดใช้งานโมดูล 2 รายการ ที่มีความสามารถในการดาวน์โหลด ติดตั้ง และเปิดแอพพลิเคชั่นได้เอง

แอพพลิเคชั่นโหลดเดอร์และโมดูลในการติดตั้งจะแตกต่างกันไปตามโทรจันแต่ละตัว แต่รายการทั้งหมดนี้ถูกเพิ่มเข้าในดาต้าเบสแอนตี้ไวรัสภายใต้ชื่อ “ไทรอาด้า”

เข้าถึงกระบวนการแม่ของแอนดรอยด์

ฟีเจอร์ที่น่าสนใจของมัลแวร์นี้ คือการใช้งาน Zygote ซึ่งเป็นกระบวนการแม่ของแอพพลิเคชั่นในดีไวซ์ระบบแอนดรอยด์ ประกอบด้วยข้อมูลระบบและขอบข่ายงานของแอพพลิเคชั่นทุกตัวที่ติดตั้งในดีไวซ์ กล่าวคือ Zygote คือตัวเปิดใช้งานแอพพลิเคชั่น เป็นขั้นตอนมาตรฐานของแอพในการทำงาน ซึ่งกล่าวได้ว่า หากโทรจันเข้าสู่ระบบ จะกลายเป็นส่วนหนึ่งของกระบวนการทำงานของแอพและสามารถเปลี่ยนแปลงการทำงานของแอพพลิเคชั่นได้ตามต้องการ

kaspersky-lab-triada-zygote

ก่อนหน้านี้ เทคโนโลยีนี้เป็นแค่เพียงแนวคิดเท่านั้น โทรจันไทรอาด้าจึงนับเป็นมัลแวร์ตัวแรกที่สามารถปฏิบัติการเช่นนี้ได้

มัลแวร์ตัวนี้มีความสามารถในการหลบซ่อนขั้นสูง ไทรอาด้าจะเข้าระบบการทำงานและฝังตัวในหน่วยความจำสั้นของดีไวซ์ ทำให้ใช้โซลูชั่นแอนตี้ไวรัสตรวจจับและการลบได้ยากขึ้น ไทรอาด้าปฏิบัติงานเงียบ ๆ ซ่อนตัวหลบไม่ให้ผู้ใช้งานและแอพพลิเคชั่นอื่น ๆ ตรวจพบ

รูปแบบการทำงานของไทรอาด้า

โทรจันไทรอาด้าสามารถดัดแปลงข้อความ SMS ที่ส่งออกโดยแอพพลิเคชั่นอื่น ซึ่งนับเป็นฟังก์ชั่นใหม่ของมัลแวร์เลยทีเดียว เมื่อผู้ใช้งานทำการซื้อขายผ่านแอพเกมด้วย SMS โจรไซเบอร์จะแก้ไขข้อมูลเพื่อรับเงินแทนเจ้าของเกมตัวจริง

“โทรจัน Ztorg, Gorpo และ Leech ของไทรอาด้า สร้างมิติใหม่ของวิวัฒนาการของภัยคุกคามแอนดรอยด์ เป็นมัลแวร์กลุ่มแรกที่แพร่กระจายเพื่อหวังผลการเพิ่มสิทธิพิเศษในดีไวซ์ ผู้ใช้ส่วนใหญ่ที่ถูกโจมตีมีภูมิลำเนาอยู่ที่รัสเซีย อินเดีย ยูเครน รวมถึงประเทศต่าง ๆ ในเอเชียแปซิฟิก มัลแวร์นี้สร้างขึ้นโดยอาชญากรไซเบอร์ที่มีความรู้ความเชี่ยวชาญด้านแพลตฟอร์มโมบายเป็นอย่างดี การคุกคามดีไวซ์ในขั้นแรกนี้ ก็เพื่อต้องการเข้าถึงดีไวซ์โดยใช้แอพพลิเคชั่นร้ายที่มีความซับซ้อนและรุนแรงมากยิ่งขึ้นอีก จึงไม่ควรมองข้ามอันตรายของมัน” นิกิต้า บุชก้า นักวิเคราะห์มัลแวร์ แคสเปอร์สกี้ แลป

การถอนการติดตั้งมัลแวร์ออกจากเครื่องทำได้ยากมาก ผู้ใช้งานมีทางเลือกในการกำจัดมัลแวร์แค่สองทาง นั่นคือ การรูทดีไวซ์และลบแอพพลิเคชั่นร้ายด้วยตนเอง และการเจลเบรคระบบแอนดรอยด์ของดีไวซ์

ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับไทรอาด้าได้ในชื่อ Trojan-Downloader.AndroidOS.Triada.a; Trojan-SMS.AndroidOS.Triada.a; Trojan-Banker.AndroidOS.Triada.a; Backdoor.AndroidOS.Triada.

ข้อมูลเพิ่มเติม

 

เกี่ยวกับแคสเปอร์สกี้ แลป

kaspersky-lab-logo

แคสเปอร์สกี้ แลปก่อตั้งขึ้นในปี พ.ศ. 2540 เป็นบริษัทระดับโลกที่เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ หรือไซเบอร์ซีเคียวริตี้ ซึ่งความชำนาญพิเศษด้านภัยคุกคามที่ใช้เทคนิคเชิงลึก ( deep threat intelligence ) และระบบการป้องกันรักษาความปลอดภัยของแคสเปอร์สกี้ แลปได้ถ่ายทอดออกมาเป็นโซลูชั่นและบริการเพื่อการรักษาความปลอดภัยที่คอยให้การปกป้ององค์กรธุรกิจ โครงสร้างที่มีความสำคัญ องค์กรภาครัฐและผู้บริโภคมากมายทั่วโลก ทั้งนี้พอร์ตโฟลิโอผลิตภัณฑ์เพื่อรักษาความปลอดภัยที่ครบถ้วนของบริษัทประกอบด้วยโซลูชั่นและบริการเพื่อการป้องกันเอนด์พอยนท์ รวมทั้งโซลูชั่นเฉพาะทางมากมายเพื่อรับมือภัยคุกคามทางดิจิตอลที่วิวัฒนาการขยายขีดความซับซ้อนยิ่งขึ้นทุกวัน ปัจจุบันเทคโนโลยีของแคสเปอร์สกี้ แลป สามารถปกป้องยูสเซอร์มากกว่า 400 ล้านคนทั่วโลก และเราได้ให้การช่วยเหลือลูกค้าองค์กรในการป้องกันสินทรัพย์ที่มีค่ายิ่ง อีกมากกว่า 270,000 แห่งทั่วโลก ท่านสามารถศึกษาข้อมูลเพิ่มเติมได้ที่ www.kasperesky.com


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Supermicro เปิดตัว Server รุ่นใหม่ รองรับ AMD EPYC 7002 Series พร้อมทำลายสถิติโลก 2 รายการ

Supermicro ได้ออกมาประกาศเปิดตัวทันทีหลังจากที่ AMD เปิดตัว EPYC Rome รุ่นล่าสุด ถึง Server รุ่นใหม่ในตระกูล H12 A+ สำหรับรองรับ AMD Epyc Rome 7002 Series โดยเฉพาะ โดยมีตัวเลขเชิงประสิทธิภาพที่สูงขึ้นกว่ารุ่นก่อนเป็นอย่างมาก ดังนี้

Red Hat ประกาศเข้าร่วม RISC-V Foundation แล้ว

Red Hat ได้ประกาศเข้าร่วมเป็นส่วนหนึ่งในโครงการ RISC-V Foundation เพื่อช่วยพัฒนาเทคโนโลยี Open Source Process Instruction Set Architecture (ISA)