พบ Ransomware ใหม่บน Android ทั้งเข้ารหัสข้อมูลและเปลี่ยนรหัส PIN

นักวิจัยด้านความมั่นคงปลอดภัยจาก ESET ผู้ให้บริการโปรแกรม Antivirus ชื่อดัง ออกมาแจ้งเตือนถึง Ransomware บนระบบปฏิบัติการ Android ตัวใหม่ ซึ่งไม่เพียงแค่เข้ารหัสข้อมูลบนอุปกรณ์ของเหยื่อเท่านั้น ยังเปลี่ยนรหัส PIN สำหรับใช้ปลดล็อกหน้าจออีกด้วย เรียก Ransomware นี้ว่า “DoubleLocker”

Credit: La1n/ShutterStock

DoubleLocker เป็น Ransomware บนระบบปฏิบัติการ Android ตัวแรกที่ใช้ประโยชน์จาก Android Accessibility ซึ่งเป็นฟีเจอร์ทางเลือกสำหรับให้ผู้ใช้ปฏิสัมพันธ์กับอุปกรณ์สมาร์ตโฟน ฟีเจอร์ดังกล่าวมักถูกใช้โดย Banking Trojan เพื่อขโมยข้อมูลความลับธนาคารของผู้ช้

DoubleLocker ถูกค้นพบครั้งแรกเมื่อเดือนพฤษภาคมทที่ผ่านมา โดยแพร่กระจายเข้าสู่อุปกรณ์ของผู้ใช้ผ่านทางการหลอกว่าเป็นไฟล์อัปเดตของโปรแกรม Adobe Flash เมื่อผู้ใช้เผลอดาวน์โหลดไฟล์มาติดตั้ง มัลแวร์จะร้องขอให้เริ่มใช้ฟีเจอร์ “Google Play Services” หลังจากได้สิทธิ์ในการใช้งานแล้ว มัลแวร์จะใช้ประโยชน์จากฟีเจอร์ดังกล่าวในการทำให้ตัวเองได้รับสิทธิ์เป็น Admin ของเครื่อง และตั้งค่าตัวเองเป็นแอพพลิเคชัน Home เริ่มต้น ส่งผลให้เมื่อไหร่ก็ตามที่ผู้ใช้กดปุ่ม Home มัลแวร์จะเริ่มทำงานทันที และอุปกรณ์ก็จะถูกล็อกโดยที่ผู้ใช้ไม่ทราบเลยว่าตัวเองเป็นคนเริ่มรันมัลแวร์เอง

เมื่อ DoubleLocker เริ่มทำงาน มันจะเข้ารหัสไฟล์บนอุปกรณ์สมาร์ตโฟนโดยใช้อัลกอริธึมแบบ AES รวมไปถึงเปลี่ยนรหัส PIN ใหม่แบบสุ่มไปพร้อมๆ กัน จากนั้นจะแสดงหน้าจอเรียกค่าไถ่เป็นเงินจำนวน 0.0130 Bitcoins (ประมาณ 2,500 บาท) และขู่เหยื่อว่าให้จ่ายค่าไถ่ภายใน 24 ชั่วโมง ในกรณีที่เหยื่อจ่ายค่าไถ่ แฮ็คเกอร์จะส่งกุญแจสำหรับปลดล็อกไฟล์และสั่งรีเซ็ตรหัส PIN ให้

จนถึงตอนนี้ ยังไม่มี Deecrypter สำหรับปลดล็อกเครื่องที่ถูก DoubleLocker โจมตีนอกจากการจ่ายค่าไถ่ แต่สำหรับ Android ที่ไม่ได้ Root นั้น ผู้ใช้สามารถทำ Factory Reset เพื่อปลดล็อกอุปกรณ์และกำจัด Ransomware ทิ้งไปได้

รายละเอียดเชิงเทคนิค: https://www.welivesecurity.com/2017/10/13/doublelocker-innovative-android-malware/

ที่มา: https://thehackernews.com/2017/10/android-ransomware-pin.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือน Z-wave Downgrade Attack อุปกรณ์ IoT กว่า 100 ล้านชิ้นเสี่ยงถูกแฮ็ก

นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ค้นพบวิธีการโจมตีแบบ Downgrade Attack บนอุปกรณ์ IoT ที่ใช้โปรโตคอล Z-wave ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าถึงอุปกรณ์ได้โดยไม่ได้รับอนุญาตแม้ว่าจะใช้กลไกการเข้ารหัสข้อมูลก็ตาม อุปกรณ์ IoT กว่าร้อยล้านชิ้นจากหลายพันยี่ห้อตกอยู่ในความเสี่ยง

Microsoft เพิ่ม Container Images สำเร็จรูปบน Azure Marketplace แล้ว

Microsoft เพิ่ม Container Images สำเร็จรูปลงใน Azure Marketplace เป็นที่เรียบร้อยแล้ว เริ่มต้นใช้งานได้ทันที