ค้นพบสปายแวร์ใหม่บนแอนดรอยด์ที่ลอกเลียนแอพของกูเกิลพลัส

หลังจากเมื่อเช้าปั่นบทความเรื่องม้าโทรจันบนแมคโอเอสไป ได้รับการตอบรับเป็นอย่างดี ประกอบกับวันนี้ปั่นงานเสร็จตามเป้าหมาย เหลือแค่สไลด์ที่จะไปบรรยายเรื่อง "Web Application Security" ที่จะสอนที่ร้อยเอ็ดปลายเดือนนี้ ก็เลยแอบยักยอกเวลางานมาปั่นบทความนี้เล่น ดีกว่าเอาเวลาไปนอนอู้ (จริงมั้ย) อิอิ

ในเวลานี้คงไม่มีใครกล้าปฏิเสธว่าระบบปฏิบัติการแอนดรอยด์นั้นได้รับความนิยมมาก การเติบโตของจำนวนผู้ใช้งานก็เพิ่มขึ้นอย่างมากหลังจากเปิดตัว ด้วยจำนวนผู้ใช้ที่เพิ่มขึ้นนี้เองเหล่าแฮกเกอร์จึงพยายามจะฉวยโอกาสนี้มาทำอันตรายเราด้วยการส่งไวรัสต่างๆเข้ามาสู่ตลาดแอนดรอยด์มาร์เก็ต หลอกให้คนดาวน์โหลดมากมาย จนถึงขั้นกูเกิลประกาศว่าจะตรวจสอบทุกแอพก่อนที่จะถูกประกาศในมาร์เก็ต อย่างไรก็ตามเหล่าแฮกเกอร์จอมวายร้ายก็ยังสามารถปล่อยไวรัสสู่อุปกรณ์ที่ติดตั้งด้วยระบบปฏิบัติการแอนดรอยด์

เมื่อไม่นานมานี้เองบริษัทเทรนด์ไมโคร ยักษ์ใหญ่แห่งวงการโปรแกรมป้องกันไวรัส ได้ค้นพบมัลแวร์(Malware)ประเภทสปายแวร์ที่มีผลกระทบต่อระบบปฏิบัติการแอนดรอยด์ และมีความสามารถหลักในการขโมยข้อมูลต่างๆ ไม่ว่าจะเป็นการแอบบันทึกการสนทนาทางโทรศัพท์ ข้อมูลพิกัดดาวเทียม ข้อความต่างๆ หรือแม้กระทั่งรายการบันทึกการโทรศัพท์ และข้อมูลเหล่านี้ก็จะถูกส่งไปยังเซิร์ฟเวอร์ของแฮกเกอร์อีกด้วย ซึ่งชื่อของสปายแวร์นี้คือ ANDROIDOS_NICISPY.C

จุดเด่นของ ANDROIDOS_NICISPY.C คือการใช้หลอกเหยื่อว่าตัวเองเป็นแอพของกูเกิลพลัส (Google+) และแถมยังใช้ไอคอนหน้าตาเหมือนแอพพลิเคชั่นกูเกิลพลัสอีกด้วย ดังรูป



รายละเอียดทางเทคนิค

ANDROIDOS_NICISPY.C จะถูกติดตั้งในเครื่องของเหยื่อโดยการดาวน์โหลดของเหยื่อที่หลงเข้าเว็บไซต์อันตราย โดยที่เหยื่อเองก็ไม่รู้ตัว

จากนั้นสปายแวร์นี้จะทำงานตั้งแต่ระบบปฏิบัติการเริ่มทำงาน และจะทำหน้าที่แอบดักข้อมูล SMS, การโทรศัพท์ และข้อมูลพิกัดดาวเทียม โดยการรันเซอร์วิสดังต่อไปนี้

• XM_CallListener
• MainService
• XM_CallRecordService
• SocketService
• XM_SmsListener
• GpsService
• RecordService

จากนั้นสปายแวร์นี้จะพยายาม

• รวบรวมข้อมูลพิกัดดาวเทียม
• ขโมยข้อความที่อยู่ใน inbox และ outbox ของอุปกรณ์
• บันทึกการสนทนาทางโทรศัพท์ของอุปกรณ์ (โทรศัพท์มือถือ)

การสนทนาทางโทรศัพท์นั้นจะถูกบันทึกในรูปแบบ .AMR ในไดเรคทอรี่ /sdcard/shangzhou/callrecord/ ด้วยชื่อไฟล์ที่มีลักษณะเป็นวันและเวลา (YYYYMMDDHHMMss) จากนั้นข้อมูลทั้งหมดก็จะถูกส่งไปยังเซิร์ฟเวอร์ของแฮกเกอร์ผ่านทางพอร์ต 2018 แถมยังส่งหมายเลข IMEI ของเครื่องไปยังหมายเลขโทรศัพท์ของแฮกเกอร์อีกด้วย

วิธีการแก้ไข

1. Select Settings > Application > Manage applications
2. Select Android System Message then click Uninstall

วิธีการป้องกัน

1. ไม่เยี่ยมชมเว็บไซต์ที่ไม่เหมาะสม หรือไม่แน่ใจว่าปลอดภัยหรือไม่
2. ไม่หลงเชื่ออีเมล์ ลิงค์ หรือแม้แต่ข้อความในโปรแกรมสนทนาต่างๆ ที่พยายามหลอกให้คลิกลิงค์
3. ไม่ดาวน์โหลดซอฟต์แวร์หรือแอพต่างๆจากแหล่งที่ไม่น่าเชื่อถือ
4. ติดตั้งโปรแกรมป้องกันไวรัสของโทรศัพท์และอุปกรณ์ พร้อมทั้งอัพเดตและสแกนทั้งระบบบ่อยๆ
5. ตรวจสอบแอพที่ถูกติดตั้งในเครื่องของเราว่าเราเป็นผู้ติดตั้งหรือไม่อยู่สม่ำเสมอ
6. ลบแอพที่เราไม่ได้ใช้งาน หรือไม่จำเป็นใช้งาน เพื่อความปลอดภัยและประสิทธิภาพของอุปกรณ์ของเรา

อ้างอิงและภาพประกอบ

1. http://about-threats.trendmicro.com/malware.aspx?language=us&name=ANDROIDOS_NICKISPY.A
2. http://techcrunch.com/2011/08/15/new-android-malware-hides-as-google-app-answers-calls-for-you/