Ramnit Worm ปรากฏตัวอีกครั้งในเวอร์ชัน Android

Ramnit Worm ได้กลับมาปรากฏตัวอีกครั้งในเวอร์ชัน Android แม้ว่าโดยพื้นฐานมันจะเป็น Window-base ก็ตาม คำถามคือ Ramnit ถูกดัดแปลงให้รันได้บน Android และแพร่ผ่าน Google Play ได้จริงหรือ? การระบาดครั้งนี้ผู้ใช้งานได้รับผลกระทบอย่างไรและป้องกันอุปกรณ์ได้อย่างไร? วันนี้เรามีคำตอบจาก Symantec มาให้ความรู้และแนะนำผู้ใช้งานให้ปลอดภัยจาก Ramnit และ Threat อื่นๆ ที่อาจะเกิดขึ้นในอนาคต

Ramnit Worm (W32.Ramnit) ปรากฏตัวครั้งแรกเมื่อปี 2010 (CVE-2010-2568CVE-2013-0422CVE-2013-1493) โจมตีบน Windows-based เพื่อให้มั่นใจว่ามันจะสามารถกระได้รวดเร็วและกำจัดได้ยาก ผู้พัฒนาออกแบบให้มันแพร่กระจายผ่าน Removable หรือ Fixed Drive และติดได้บนไฟล์ต่างๆ เช่น .exe .dll .html .htm กระบวนการติดมัลแวร์บน HTML ไฟล์ใช้ 2 เทคนิคคือ

  1. แทรก VBScript ในหน้า HTML สำหรับปล่อยและรันไฟล์
  2. แทรก Hidden iframe ในหน้า HTML เพื่อดาวน์โหลดไฟล์เมื่อเหยื่อเปิดเพจใน Browser

Ramnit Worm ปรากฏตัวอีกครั้งในเวอร์ชัน Android ในเดือนมีนาคมปีนี้ มีกว่า 100 แอปพลิเคชันที่ติดมัลแวร์คล้ายๆ กันถูกลบออกจาก Google Play และเมื่อเร็วๆ นี้ก็มีการโจมตีระลอกใหม่อีกครั้งมี 92 แอปพลิเคชันที่เกี่ยวข้อง อีกทั้งยังมีผู้ใช้งานดาวน์โหลดไปแล้วถึง 250,000 ครั้ง ส่วนหนึ่งของแอปพลิเคชันเหล่านั้นเป็นแอปพลิเคชันเพื่อการศึกษาจากค่าย Lesmana Studio และอีกส่วนเป็นแอปพลิเคชันสอนการออกแบบจากผู้พัฒนาที่ชื่อว่า Arrpya App ซึ่งแอปพลิเคชันเหล่านี้ไม่ปรากฏบน Google Play แล้ว

Ramnit ถูกดัดแปลงให้รันได้บน Andorid และแพร่ผ่าน Google Play ได้จริงหรือ? แม้ว่าหลายปีก่อนจะมีการกวาดล้างครั้งใหญ่ไปแล้วแต่คาดว่า Ramnit ก็คงยังหลงเหลืออยู่ที่ไหนสักแห่ง เรื่องทั้งหมดน่าเกิดขึ้นเพราะนักพัฒนา Android แอปพลิเคชันไปใช้งานเครื่องที่ติด Ramnit อยู่หรือเผลอไปรวมไฟล์ที่มีมัลแวร์อยู่เข้าไปจากนั้นก็ส่งงานไปที่ Google Play แม้ว่า Google จะมีการตรวจสอบแอปพลิเคชันที่อัพโหลดมาแต่เราไม่รู้ขั้นตอนในการตรวจสอบ ดังนั้นเราจึงไม่ทราบได้ว่าทำไม Ramnit ถึงรอดจากการตรวจสอบนั้น

อันที่จริงแล้ว Ramnit ไม่สามารถรันบนอุปกรณ์ Android ได้จริง กรณีที่จะติดได้นั้น คือ ต้องนำอุปกรณ์ไปต่อกับเครื่อง Windows แล้วก็เปิดไฟล์ที่ติดมัลแวร์ด้วย Browser บนเครื่อง Window อย่างไรก็ตาม ถ้าผู้ใช้มีการติดตั้งโปรแกรม Antivirus หรือ Endpoint Protection ก็จะปลอดภัยจาก Worm ตัวนี้และภัยคุกคามอื่นๆ แม้ว่าภัยครั้งนี้จะดูเหมือนว่ามันไม่ได้รุนแรงมากนักแต่มันพิสูจน์แล้วว่าการตรวจสอบแอปพลิเคชันของผู้ให้บริการแอปพลิเคชันนั้นไม่พอเพียงและอาจเป็นช่องทางให้มัลแวร์ตัวอื่นๆ เกิดขึ้นต่อไป ในครั้งนี้ Symantec ได้แจ้ง Google ให้ทำการลบแอปพลิเคชันเหล่านี้แล้ว เพื่อความปลอดภัยของผู้ใช้งานมือถือทาง Symantec มีข้อแนะนำดังนี้
  • อัพเดต Software ให้ล่าสุดเสมอ
  • อย่าดาวน์โหลดแอปพลิเคชันจากไซต์ที่ไม่น่าไว้วางใจ
  • ใช้งานแอปพลิเคชันจากผู้ผลิตที่ไว้ใจได้เท่านั้น
  • ระมัดระวังการให้สิทธิ์กับแอปพลิเคชัน
  • หาโปรแกรมด้านการรักษาความมั่นคงปลอดภัยบนมือถือมาใช้ เช่น Norton หรืออื่นๆ
  • พยายามสำรองข้อมูลสำคัญไว้อย่างสม่ำเสมอ

สามารถดูข้อมูลเพิ่มเติมของ Ramnit ได้ที่นี่ https://www.symantec.com/security_response/writeup.jsp?docid=2010-011922-2056-99

ที่มา : https://www.symantec.com/connect/blogs/ramnit-worm-still-turning-unlikely-places



About nattakon

Check Also

Epicor แจกฟรี Whitepaper แนะแนวทางการทำ Digital Transformation สำหรับธุรกิจโรงงานโดยเฉพาะ

สำหรับเหล่าธุรกิจโรงงานและภาคการผลิตที่กำลังมองหาแนวทางการทำ Digital Transformation ด้วยการต่อยอดจากระบบ ERP เพื่อนำเทคโนโลยีใหม่ๆ และข้อมูลเข้ามาใช้เสริมประสิทธิภาพและสร้างนวัตกรรมใหม่ๆ ในการผลิต ทาง Epicor ผู้เชี่ยวชาญด้านระบบ ERP และ MES สำหรับโรงงาน …

Linux เริ่มแก้ไขปัญหา Y2038 ปัญหาคล้ายคลึงกับ Y2K ใน Linux Kernel 4.15 เพิ่มเติม

หากใครทันกับสมัยปัญหา Y2K ที่บรรดาซอฟต์แวร์ต่างๆ นั้นถูกพัฒนาด้วยการระบุจำนวนปีจากการใช้เลขท้าย 2 หลักของค.ศ. เพื่อรองรับการระบุเวลาในช่วง 1900 – 2000 นั้น ปัญหานี้อาจเกิดขึ้นอีกครั้งในปี 2038 จากการระบุเวลาด้วย Signed …