พบ Ransomware ใหม่บน Android ทั้งเข้ารหัสข้อมูลและเปลี่ยนรหัส PIN

นักวิจัยด้านความมั่นคงปลอดภัยจาก ESET ผู้ให้บริการโปรแกรม Antivirus ชื่อดัง ออกมาแจ้งเตือนถึง Ransomware บนระบบปฏิบัติการ Android ตัวใหม่ ซึ่งไม่เพียงแค่เข้ารหัสข้อมูลบนอุปกรณ์ของเหยื่อเท่านั้น ยังเปลี่ยนรหัส PIN สำหรับใช้ปลดล็อกหน้าจออีกด้วย เรียก Ransomware นี้ว่า “DoubleLocker”

Credit: La1n/ShutterStock

DoubleLocker เป็น Ransomware บนระบบปฏิบัติการ Android ตัวแรกที่ใช้ประโยชน์จาก Android Accessibility ซึ่งเป็นฟีเจอร์ทางเลือกสำหรับให้ผู้ใช้ปฏิสัมพันธ์กับอุปกรณ์สมาร์ตโฟน ฟีเจอร์ดังกล่าวมักถูกใช้โดย Banking Trojan เพื่อขโมยข้อมูลความลับธนาคารของผู้ช้

DoubleLocker ถูกค้นพบครั้งแรกเมื่อเดือนพฤษภาคมทที่ผ่านมา โดยแพร่กระจายเข้าสู่อุปกรณ์ของผู้ใช้ผ่านทางการหลอกว่าเป็นไฟล์อัปเดตของโปรแกรม Adobe Flash เมื่อผู้ใช้เผลอดาวน์โหลดไฟล์มาติดตั้ง มัลแวร์จะร้องขอให้เริ่มใช้ฟีเจอร์ “Google Play Services” หลังจากได้สิทธิ์ในการใช้งานแล้ว มัลแวร์จะใช้ประโยชน์จากฟีเจอร์ดังกล่าวในการทำให้ตัวเองได้รับสิทธิ์เป็น Admin ของเครื่อง และตั้งค่าตัวเองเป็นแอพพลิเคชัน Home เริ่มต้น ส่งผลให้เมื่อไหร่ก็ตามที่ผู้ใช้กดปุ่ม Home มัลแวร์จะเริ่มทำงานทันที และอุปกรณ์ก็จะถูกล็อกโดยที่ผู้ใช้ไม่ทราบเลยว่าตัวเองเป็นคนเริ่มรันมัลแวร์เอง

เมื่อ DoubleLocker เริ่มทำงาน มันจะเข้ารหัสไฟล์บนอุปกรณ์สมาร์ตโฟนโดยใช้อัลกอริธึมแบบ AES รวมไปถึงเปลี่ยนรหัส PIN ใหม่แบบสุ่มไปพร้อมๆ กัน จากนั้นจะแสดงหน้าจอเรียกค่าไถ่เป็นเงินจำนวน 0.0130 Bitcoins (ประมาณ 2,500 บาท) และขู่เหยื่อว่าให้จ่ายค่าไถ่ภายใน 24 ชั่วโมง ในกรณีที่เหยื่อจ่ายค่าไถ่ แฮ็คเกอร์จะส่งกุญแจสำหรับปลดล็อกไฟล์และสั่งรีเซ็ตรหัส PIN ให้

จนถึงตอนนี้ ยังไม่มี Deecrypter สำหรับปลดล็อกเครื่องที่ถูก DoubleLocker โจมตีนอกจากการจ่ายค่าไถ่ แต่สำหรับ Android ที่ไม่ได้ Root นั้น ผู้ใช้สามารถทำ Factory Reset เพื่อปลดล็อกอุปกรณ์และกำจัด Ransomware ทิ้งไปได้

รายละเอียดเชิงเทคนิค: https://www.welivesecurity.com/2017/10/13/doublelocker-innovative-android-malware/

ที่มา: https://thehackernews.com/2017/10/android-ransomware-pin.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

VMware Cloud Disaster Recovery (VCDR): ทางเลือกในการวางระบบ DR ที่รวดเร็วและง่ายดาย พร้อมให้บริการแล้วโดย Yip In Tsoi

เพื่อช่วยให้ธุรกิจไทยสามารถออกแบบ วางระบบ และใช้งานระบบ Disaster Recovery หรือ DR ได้อย่างมีประสิทธิภาพและง่ายดาย VMware และ Yip In Tsoi จึงร่วมมือกันเพื่อนำเสนอโซลูชัน VMware Cloud Disaster Recovery ซึ่งเป็นบริการ Cloud DR ในแบบ SaaS ที่ใช้งานได้ง่าย คิดค่าใช้จ่ายตามการใช้งานจริง และรองรับระบบได้ทุกขนาด ทำให้ไม่ว่าจะเป็นธุรกิจขนาดเล็กหรือองค์กรขนาดใหญ่ที่ใช้งาน VMware อยู่ก็สามารถทำ DR ได้อย่างง่ายดายในเวลาอันรวดเร็ว

[Guest Post] IBM Security Solution ที่สุดของความปลอดภัยสำหรับ Cloud Native technology: IBM POWER10, IBM Storage, IBM QRadar

IBM Security Solution ที่สุดของความปลอดภัยสำหรับ Cloud Native technology: IBM POWER10, IBM Storage, IBM QRadar