TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
ทีม Unit 42 แห่ง Palo Alto Networks ได้ค้นพบ Malware ความร้ายแรงระดับสูงบนระบบปฏิบัติการ Apple iOS ชื่อ YiSpecter ซึ่งมีความอันตรายคือสามารถแพร่ระบาดได้ทั้งบน iOS ที่ Jailbreak และไม่ได้ Jailbreak จากการใช้ Private API ของระบบปฏิบัติการ iOS นั่นเอง
การโจมตีครั้งนี้ถูกตรวจพบเป็นจำนวนมากในประเทศจีนแผ่นดินใหญ่และไต้หวัน การแพร่ระบาดนี้เกิดขึ้นผ่านช่องทางที่หลากหลาย ไม่ว่าจะเป็นการ Hijack Traffic จาก ISP, ใช้ SNS Worm บน Windows, การติดตั้ง App แบบ Offline และการโฆษณา App ที่ใช้ในการโจมตี โดยเหยื่อหลายรายได้ทำการพูดคุยเกี่ยวกับปัญหาที่เกิดขึ้นบน iPhone นี้ใน Forum หลายๆ แห่ง และรายงานให้ Apple ได้ทราบ แต่ถึงกระนั้น Malware ตัวนี้ก็ระบาดมาเป็นเวลาเกินกว่า 10 เดือน และจากการตรวจสอบความสามารถในการตรวจจับของผู้ผลิตระบบ Security บน VirusTotal ถึง 57 รายนั้น มีผู้ผลิตเพียงรายเดียวเท่านั้นที่ตรวจจับ YiSpecter ได้สำเร็จ
[Update] ล่าสุด Apple ออกมาแถลงเรียบร้อยแล้วครับว่า iOS 8.4.1 และ iOS 9 ปลอดภัยจาก Malware ตัวนี้
YiSpecter นั้นถูกแบ่งออกเป็น 4 App ย่อยด้วยกัน และแต่ละแอพนั้นก็มี Enterprise Certificate ที่ถูกต้องอยู่ด้วย โดยจากการใช้ Private API ในการโจมตี ทำให้แต่ละแอพของ YiSpecter สามารถทำการ Download และติดตั้งแอพที่เหลืออีก 3 แอพจาก Command & Control Server ให้ครบได้ โดย 3 แอพในนี้สามารถซ่อนตัวเองจาก iOS Springboard ได้ ทำให้ผู้ใช้งานไม่สามารถถอนการติดตั้งออกได้ ในขณะที่อีก 1 แอพที่เหลือนั้นจะปลอมไปใช้ชื่อและ Logo ของ System App ทำให้ผู้ใช้งานนั้นไม่ทันสังเกต
ในเครื่อง iOS Device ที่ติด YiSpecter นั้น YiSpecter จะสามารถทำการ Download, ติดตั้ง และเรียกใช้งาน iOS แอพใดๆ ก็ได้มาทับแอพที่มีอยู่แล้วในเครื่อง, สามารถทำการ Hijack การทำงานของแอพอื่นๆ เพื่อแสดงโฆษณาแทน, เปลี่ยน Default Search Engine, Bookmarks และ Page ที่เปิดไว้บน Safari รวมถึงอัพโหลดข้อมูลเครื่องขึ้นไปยัง Command and Control Server ทั้งนี้มีรายงานว่าพฤติกรรมเหล่านี้เพิ่งเกิดขึ้นในช่วงไม่กี่เดือนที่ผ่านมานี้ รวมถึง Malware ตัวนี้ยังมีพฤติกรรมอื่นๆ ดังต่อไปนี้
- ไม่ว่าจะ Jailbreak iOS มาหรือไม่ Malware ตัวนี้ก็สามารถถูก Download และติดตั้งลงไปได้
- ถึงแม้จะทำการลบ Malware แบบ Manual มันก็จะกลับมาปรากฎใหม่
- ถ้าหากใช้ 3rd Party Tool ช่วยตรวจจับ คุณจะพบกับ Systems App แปลกปลอมในเครื่องของคุณ
- ในเครื่องที่ติด Malware บางครั้งที่เปิดแอพจะพบกับโฆษณาเต็มหน้าแทน
สำหรับ App หลักที่เป็นต้นตอในการแพร่ระบาดของ Malware ตัวนี้ ได้แก่ HYQvod (bundle id: weiying.Wvod) และ DaPian (bundle id: weiying.DaPian) ซึ่งจะทำการ Download แอพที่เอาไว้ทำการโจมตีด้วยวิธีการต่างๆ และการ Download/Install/Uninstall App ชื่อ NoIcon ซึ่ง NoIcon นี้ก็จะทำการ Download แอพอีกสองตัว ได้แก่ ADPage สำหรับทำหน้าที่เปิดโฆษณาเต็มหน้าแทนการเปิดแอพ และ NoIconUpdate โดย Command and Control Server ที่ตรวจสอบพบนี้จะใช้ bb800.com เป็น Domain Name
ทั้งนี้ผู้ต้องสงสัยสำหรับกรณีนี้จากหลักฐานแวดล้อมต่างๆ คือบริษัทที่ชื่อ YingMob Interaction โดยเชื่อว่าการโจมตีครั้งนี้ไม่เกี่ยวข้องกับ XCodeGhost ที่ผ่านมา
มีวิธีป้องกันและกำจัดได้แล้ว
Palo Alto Networks ได้ออก Signature สำหรับยับยั้งการเชื่อมต่อไปยัง Command and Control Server แล้ว พร้อมแจ้ง Apple ให้ทำการ Revoke Enterprise Certificate ออกด้วย ส่วนสำหรับผู้ที่สงสัยว่าตัวเองจะติด Malware ตัวนี้ ให้ทำดังนี้
- เข้าไปที่ Settings > General > Profiles และลบ Profile ที่แปลกปลอมออกให้หมด
- ลบแอพ “情涩播放器”, “快播私密版” และ “快播0” ออก
- ใช้ 3rd Party iOS Management Tool เช่น iFunBox ติดตั้งลงบน Windows หรือ Mac แล้วเชื่อมต่อกับอุปกรณ์ iOS Device
- หาแอพแปลกปลอมที่ปลอมตัวเป็นชื่อว่า Phone, Weather, Game Center, Passbook, Notes หรือ Cydia และลบทิ้ง โดยขั้นตอนนี้จะไม่กระทบกับแอพจริงของระบบ
ทั้งนี้ Palo Alto Networks ได้ออกมาเตือน 2 ประการหลักๆ ในการใช้ iOS ให้ปลอดภัย คือ ไม่โหลด iOS App จากที่แปลกๆ และไม่โหลด iOS App จากนักพัฒนาที่ไม่น่าเชื่อถือ
สำหรับผู้ที่สนใจข้อมูลเพิ่มเติม อ่านรายงานฉบับเต็มได้เลยที่ http://researchcenter.paloaltonetworks.com/2015/10/yispecter-first-ios-malware-attacks-non-jailbroken-ios-devices-by-abusing-private-apis/ ครับ รายละเอียดเต็มๆ ครบถ้วนทุกกระบวนท่าของ Malware ตัวนี้เลย
