Ramnit Worm ปรากฏตัวอีกครั้งในเวอร์ชัน Android

Ramnit Worm ได้กลับมาปรากฏตัวอีกครั้งในเวอร์ชัน Android แม้ว่าโดยพื้นฐานมันจะเป็น Window-base ก็ตาม คำถามคือ Ramnit ถูกดัดแปลงให้รันได้บน Android และแพร่ผ่าน Google Play ได้จริงหรือ? การระบาดครั้งนี้ผู้ใช้งานได้รับผลกระทบอย่างไรและป้องกันอุปกรณ์ได้อย่างไร? วันนี้เรามีคำตอบจาก Symantec มาให้ความรู้และแนะนำผู้ใช้งานให้ปลอดภัยจาก Ramnit และ Threat อื่นๆ ที่อาจะเกิดขึ้นในอนาคต

Ramnit Worm (W32.Ramnit) ปรากฏตัวครั้งแรกเมื่อปี 2010 (CVE-2010-2568CVE-2013-0422CVE-2013-1493) โจมตีบน Windows-based เพื่อให้มั่นใจว่ามันจะสามารถกระได้รวดเร็วและกำจัดได้ยาก ผู้พัฒนาออกแบบให้มันแพร่กระจายผ่าน Removable หรือ Fixed Drive และติดได้บนไฟล์ต่างๆ เช่น .exe .dll .html .htm กระบวนการติดมัลแวร์บน HTML ไฟล์ใช้ 2 เทคนิคคือ

  1. แทรก VBScript ในหน้า HTML สำหรับปล่อยและรันไฟล์
  2. แทรก Hidden iframe ในหน้า HTML เพื่อดาวน์โหลดไฟล์เมื่อเหยื่อเปิดเพจใน Browser

Ramnit Worm ปรากฏตัวอีกครั้งในเวอร์ชัน Android ในเดือนมีนาคมปีนี้ มีกว่า 100 แอปพลิเคชันที่ติดมัลแวร์คล้ายๆ กันถูกลบออกจาก Google Play และเมื่อเร็วๆ นี้ก็มีการโจมตีระลอกใหม่อีกครั้งมี 92 แอปพลิเคชันที่เกี่ยวข้อง อีกทั้งยังมีผู้ใช้งานดาวน์โหลดไปแล้วถึง 250,000 ครั้ง ส่วนหนึ่งของแอปพลิเคชันเหล่านั้นเป็นแอปพลิเคชันเพื่อการศึกษาจากค่าย Lesmana Studio และอีกส่วนเป็นแอปพลิเคชันสอนการออกแบบจากผู้พัฒนาที่ชื่อว่า Arrpya App ซึ่งแอปพลิเคชันเหล่านี้ไม่ปรากฏบน Google Play แล้ว

Ramnit ถูกดัดแปลงให้รันได้บน Andorid และแพร่ผ่าน Google Play ได้จริงหรือ? แม้ว่าหลายปีก่อนจะมีการกวาดล้างครั้งใหญ่ไปแล้วแต่คาดว่า Ramnit ก็คงยังหลงเหลืออยู่ที่ไหนสักแห่ง เรื่องทั้งหมดน่าเกิดขึ้นเพราะนักพัฒนา Android แอปพลิเคชันไปใช้งานเครื่องที่ติด Ramnit อยู่หรือเผลอไปรวมไฟล์ที่มีมัลแวร์อยู่เข้าไปจากนั้นก็ส่งงานไปที่ Google Play แม้ว่า Google จะมีการตรวจสอบแอปพลิเคชันที่อัพโหลดมาแต่เราไม่รู้ขั้นตอนในการตรวจสอบ ดังนั้นเราจึงไม่ทราบได้ว่าทำไม Ramnit ถึงรอดจากการตรวจสอบนั้น

อันที่จริงแล้ว Ramnit ไม่สามารถรันบนอุปกรณ์ Android ได้จริง กรณีที่จะติดได้นั้น คือ ต้องนำอุปกรณ์ไปต่อกับเครื่อง Windows แล้วก็เปิดไฟล์ที่ติดมัลแวร์ด้วย Browser บนเครื่อง Window อย่างไรก็ตาม ถ้าผู้ใช้มีการติดตั้งโปรแกรม Antivirus หรือ Endpoint Protection ก็จะปลอดภัยจาก Worm ตัวนี้และภัยคุกคามอื่นๆ แม้ว่าภัยครั้งนี้จะดูเหมือนว่ามันไม่ได้รุนแรงมากนักแต่มันพิสูจน์แล้วว่าการตรวจสอบแอปพลิเคชันของผู้ให้บริการแอปพลิเคชันนั้นไม่พอเพียงและอาจเป็นช่องทางให้มัลแวร์ตัวอื่นๆ เกิดขึ้นต่อไป ในครั้งนี้ Symantec ได้แจ้ง Google ให้ทำการลบแอปพลิเคชันเหล่านี้แล้ว เพื่อความปลอดภัยของผู้ใช้งานมือถือทาง Symantec มีข้อแนะนำดังนี้
  • อัพเดต Software ให้ล่าสุดเสมอ
  • อย่าดาวน์โหลดแอปพลิเคชันจากไซต์ที่ไม่น่าไว้วางใจ
  • ใช้งานแอปพลิเคชันจากผู้ผลิตที่ไว้ใจได้เท่านั้น
  • ระมัดระวังการให้สิทธิ์กับแอปพลิเคชัน
  • หาโปรแกรมด้านการรักษาความมั่นคงปลอดภัยบนมือถือมาใช้ เช่น Norton หรืออื่นๆ
  • พยายามสำรองข้อมูลสำคัญไว้อย่างสม่ำเสมอ

สามารถดูข้อมูลเพิ่มเติมของ Ramnit ได้ที่นี่ https://www.symantec.com/security_response/writeup.jsp?docid=2010-011922-2056-99

ที่มา : https://www.symantec.com/connect/blogs/ramnit-worm-still-turning-unlikely-places




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Gartner ออก Magic Quadrant ทางด้าน IDS/IPS ประจำปี 2018

Gartner บริษัทวิจัยและให้คำปรึกษาชื่อดังจากสหรัฐฯ ออกรายงาน Magic Quadrant ทางด้าน Intrusion Detection and Prevention Systems (IDPS) ประจำปี 2018 ผล …

เตือนคนขุดเหมืองเงินดิจิทัลเสี่ยงถูก Satori Botnet โจมตีโดยไม่รู้ตัว

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก Netlab ของ Qihoo 360 ออกมาแจ้งเตือนถึง Satori Botnet สายพันธุ์ใหม่ ซึ่งพุ่งเป้าโจมตีผู้ใช้ซอฟต์แวร์ Claymore ในการขุดเหมืองเงินดิจิทัล หลังพบเหยื่อหลายรายถูกเปลี่ยนการตั้งค่าสำหรับใช้ขุดเหมืองเป็นของแฮ็กเกอร์แทน กลายเป็นว่าตนเองถูกหลอกให้ขุดเงินดิจิทัลฟรีๆ