TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
นักวิจัยด้านความมั่นคงปลอดภัยจาก ESET ผู้ให้บริการโปรแกรม Antivirus ชื่อดัง ออกมาแจ้งเตือนถึง Ransomware บนระบบปฏิบัติการ Android ตัวใหม่ ซึ่งไม่เพียงแค่เข้ารหัสข้อมูลบนอุปกรณ์ของเหยื่อเท่านั้น ยังเปลี่ยนรหัส PIN สำหรับใช้ปลดล็อกหน้าจออีกด้วย เรียก Ransomware นี้ว่า “DoubleLocker”
DoubleLocker เป็น Ransomware บนระบบปฏิบัติการ Android ตัวแรกที่ใช้ประโยชน์จาก Android Accessibility ซึ่งเป็นฟีเจอร์ทางเลือกสำหรับให้ผู้ใช้ปฏิสัมพันธ์กับอุปกรณ์สมาร์ตโฟน ฟีเจอร์ดังกล่าวมักถูกใช้โดย Banking Trojan เพื่อขโมยข้อมูลความลับธนาคารของผู้ช้
DoubleLocker ถูกค้นพบครั้งแรกเมื่อเดือนพฤษภาคมทที่ผ่านมา โดยแพร่กระจายเข้าสู่อุปกรณ์ของผู้ใช้ผ่านทางการหลอกว่าเป็นไฟล์อัปเดตของโปรแกรม Adobe Flash เมื่อผู้ใช้เผลอดาวน์โหลดไฟล์มาติดตั้ง มัลแวร์จะร้องขอให้เริ่มใช้ฟีเจอร์ “Google Play Services” หลังจากได้สิทธิ์ในการใช้งานแล้ว มัลแวร์จะใช้ประโยชน์จากฟีเจอร์ดังกล่าวในการทำให้ตัวเองได้รับสิทธิ์เป็น Admin ของเครื่อง และตั้งค่าตัวเองเป็นแอพพลิเคชัน Home เริ่มต้น ส่งผลให้เมื่อไหร่ก็ตามที่ผู้ใช้กดปุ่ม Home มัลแวร์จะเริ่มทำงานทันที และอุปกรณ์ก็จะถูกล็อกโดยที่ผู้ใช้ไม่ทราบเลยว่าตัวเองเป็นคนเริ่มรันมัลแวร์เอง
เมื่อ DoubleLocker เริ่มทำงาน มันจะเข้ารหัสไฟล์บนอุปกรณ์สมาร์ตโฟนโดยใช้อัลกอริธึมแบบ AES รวมไปถึงเปลี่ยนรหัส PIN ใหม่แบบสุ่มไปพร้อมๆ กัน จากนั้นจะแสดงหน้าจอเรียกค่าไถ่เป็นเงินจำนวน 0.0130 Bitcoins (ประมาณ 2,500 บาท) และขู่เหยื่อว่าให้จ่ายค่าไถ่ภายใน 24 ชั่วโมง ในกรณีที่เหยื่อจ่ายค่าไถ่ แฮ็คเกอร์จะส่งกุญแจสำหรับปลดล็อกไฟล์และสั่งรีเซ็ตรหัส PIN ให้
จนถึงตอนนี้ ยังไม่มี Deecrypter สำหรับปลดล็อกเครื่องที่ถูก DoubleLocker โจมตีนอกจากการจ่ายค่าไถ่ แต่สำหรับ Android ที่ไม่ได้ Root นั้น ผู้ใช้สามารถทำ Factory Reset เพื่อปลดล็อกอุปกรณ์และกำจัด Ransomware ทิ้งไปได้
รายละเอียดเชิงเทคนิค: https://www.welivesecurity.com/2017/10/13/doublelocker-innovative-android-malware/
ที่มา: https://thehackernews.com/2017/10/android-ransomware-pin.html
