Mobile Threat: Simplelocker มัลแวร์เรียกค่าไถ่ตัวเอ้บน Android

เดือนพฤษภาคมที่ผ่านมา Bitdefender แจ้งเตือนว่าค้นพบมัลแวร์เรียกค่าไถ่ หรือ Ransomware บน Android ตัวแรก ซึ่งเป็นแอพพลิเคชันแปลกปลอมที่พยายามรีดไถเงินจากเหยื่อ จนเมื่อสัปดาห์ก่อน F-Secure แจ้งว่าขณะนี้ได้ตรวจพบ Ransomware ตัวฉกาจบน Android เรียกว่า Simplelocker ซึ่งโทรจันตัวนี้จะทำการเข้ารหัสข้อมูลส่วนตัวของเหยื่อ และจะทำการลบ Key สำหรับถอดรหัสทิ้งถ้าไม่จ่ายค่าไถ่

บางคนอ่านฟังแล้วอาจคุ้นเคยกับวิธีการดังกล่าว เนื่องจากบน PC ก็มี Ransomware แบบนี้เช่นเดียวกัน คือ Cryptolocker นั่นเอง

“Simplerlocker มาในรูปของแอพพลิเคชันสำหรับดูหนังโป๊ เมื่อติดตั้งแอพดังกล่าว มันจะทำการค้นหาไฟล์ของเหยื่อบน SD Card เช่น รูปภาพ, เอกสาร, วิดีโอ หรืออื่นๆ จากนั้นจะทำการเข้ารหัสข้อมูล แล้วแสดงข้อความเรียกค่าไถ่บนหน้าจอ $20 USD สำหรับ Key ถอดรหัส และต้องจ่ายเงินภายใน 24 ชั่วโมง” — F-Secure ให้ข้อมูลเกี่ยวกับ Simplelocker

“จากการตรวจสอบของเรา ถึงแม้ว่าโทรจัน Simplelocker จะทำการเข้ารหัสข้อมูลของเหยื่อ แต่เรายังไม่เห็นช่องทางหรือหลักฐานใดๆที่แสดงว่าโทรจันสามารถลบ Key ถอดรหัสทิ้งได้ แต่ก็ไม่ได้หมายความว่าในอนาคตมันจะทำไม่ได้เช่นกัน นอกจากนี้ยังพบว่า Simplelocker มักจะแฝงตัวอยู่ในแอพหลายชื่อ เช่น DayWeekBar, VideoPlayer, VPlayer หรือ Sex xonix เป็นต้น” — Blue Coat บริษัทชั้นนำด้านระบบรักษาความปลอดภัยของเว็บไซต์ได้ให้ข้อมูล

Kaspersky Lab ก็ตรวจพบ Ransomware ทำนองนี้เช่นกัน โดย Kaspersky ตั้งชื่อว่า AndroidOS.Pletor.a ซึ่งหลังจากตรวจสอบผลการวิเคราะห์ของ Kaspersky แล้ว พบว่ามีความคล้ายคลึงกับ Simplelocker มาก โดย Kaspersky พบการติดต่อมากกว่า 2,000 ครั้ง จาก 13 ประเทศทั่วโลก

ไม่ว่าจะใช้ชื่อไหนก็ตาม แต่กระบวนเรียกค่าไถ่ก็เหมือนกัน คือ แฮ็คเกอร์จะสร้างเว็บโป๊ปลอมขึ้นมา และเสนอให้ผู้เข้าชมดาวน์โหลดแอพสำหรับดูวิดีโอฟรีไปติดตั้ง แต่แทนทีจะเป็นแอพวิดีโอ แฮ็คเกอร์ส่งโทรจันไปติดตั้งให้เหยื่อแทน

“ถึงแม้ว่า Ransomware จะมีฟังก์ชันในการถอดรหัสข้อมูล แต่เราแนะนำว่าอย่าจ่ายค่าไถ่ ไม่ใช่เพียงแค่จะเป็นการสนับสนุนแฮ็คเกอร์แล้ว เรายังไม่มีอะไรการันตีด้วยว่าแฮ็คเกอร์จะถอดรหัสให้เราจริง ดังนั้นแล้ว เราแนะนำว่าให้ผู้ใช้ Android แบ็คอัพข้อมูลบ่อยๆ ถ้าถูกโจมตี ก็เพียง restore กลับไปเท่านั้น เพียงแค่นี้ปัญหาเรื่องโทรจัน Filecoder ก็จะหมดไปทันที” — ESET แนะนำวิธีแก้ไขปัญหา

อย่างไรก็ตาม Kaspersky Lab ระบุเกี่ยวกับวิธีรับมือโทรจัน AndroidOS.Pletor.a ว่า “โทรจันทุกเวอร์ชันที่พวกเราค้นพบมี Key ในการถอดรหัสอยู่ในตัว ซึ่งเราสามารถดึงมันออกมาใช้ถอดรหัสข้อมูลได้ทันที ถ้าคุณพบว่าตนเองติดโทรจันชนิดนี้แล้ว กรุณาติดต่อทีม Kaspersky ผ่านอีเมลล์ newvirus@kaspersky.com สำหรับความช่วยเหลือ”

ทีมงาน TechTalkThai ขอแนะนำผู้ใช้อุปกรณ์ Android ทุกท่านเกี่ยวกับความปลอดภัยในการใช้งานสมาร์ทโฟน หรือแท็บเล็ต

• ติดตั้งแอพพลิเคชันผ่านทาง Google Play Store เท่านั้น อย่าติดตั้งแอพพลิเคชันแปลกปลอมๆใดจากที่อื่น ถึงแม้ว่ามันจะน่าสนใจและฟรีก็เถอะ (แฮ่กๆๆๆๆ)
• แบ็คอัพข้อมูลเป็นประจำ อย่างน้อยสัปดาห์ละครั้ง เพื่อที่ถ้าอุปกรณ์ของตนเกิดมีปัญหา ติดมัลแวร์ ก็สามารถกู้คืนข้อมูลทั้งหมดกลับมาได้
• หลีกเลี่ยงการเข้าเว็บไซต์ที่ไม่พึงประสงค์ต่างๆ เช่น เว็บโป๊, เว็บการพนัน หรือลิงค์โฆษณาที่เด้งขึ้นมาให้กด
• อัพเดทระบบปฏิบัติการให้ล่าสุดอยู่เสมอ เช่น เวอร์ชันล่าสุดอย่าง Android 4.4.4
• เปลี่ยนมาใช้ Apple iPhone ชะละล่า ~

ที่มา: http://securitywatch.pcmag.com/mobile-security/324666-mobile-threat-monday-android-ransomware-encrypts-your-files-don-t-pay-up