TH EN
alt

มัลแวร์ Roaming Mantis ระบาดบนสมาร์ทโฟน

  2 พ.ค. 2561   ข่าวประชาสัมพันธ์

Roaming Mantis มัลแวร์บนสมาร์ทโฟน ที่กำลังระบาดในเอเชีย

Kaspersky Lab บริษัทวิจัยด้านความปลอดภัย Cyber Security รายงานว่า ค้นพบมัลแวร์แอนดรอยด์ตัวใหม่ล่าสุด กระจายตัวผ่านระบบโดเมนเนมหรือ DNS ของสมาร์ทโฟนโดยใช้เทคนิค
การโจมตีแบบ DNS Hijacking ซึ่งเน้นเป้าหมายส่วนใหญ่ที่ทวีปเอเชียนี่เอง แคมเปญร้ายตัวนี้ มีชื่อว่า Roaming Mantis (โรมมิ่ง แมนทิส) ออกแบบมาให้ขโมยข้อมูลผู้ใช้งาน ข้อมูลส่วนบุคคล
และเปิดช่องให้ผู้โจมตีสามารถควบคุมดีไวซ์ระบบแอนดรอยด์ได้เต็มที่ ในช่วงเดือนกุมภาพันธ์ถึงเมษายน 2018 ที่ผ่านมา

นักวิจัยตรวจพบมัลแวร์ Roaming Mantis นี้ในเน็ตเวิร์กจำนวนมากกว่า 150 รายการ ส่วนมากพบที่ประเทศเกาหลีใต้ บังคลาเทศ และญี่ปุ่น แต่คาดว่าน่าจะมีเหยื่อการโจมตี
จำนวนมากกว่าที่พบ
เชื่อว่า กลุ่มโจรไซเบอร์นี้มีเบื้องหลังปฏิบัติการที่กำลังมองหาเงินรายได้

นายวิทาลี คามลัก ผู้อำนวยการทีมวิเคราะห์และวิจัยของ Kaspersky Lab ประจำภูมิภาคเอเชีแปซิฟิก (GReAT) กล่าวว่า “สื่อต่างๆ ของประเทศญี่ปุ่นเพิ่งลงข่าวการโจมตีนี้ แต่เมื่อเราก็ได้วิจัยเพิ่มขึ้นอีก
จึงพบว่าภัยคุกคามนี้ไม่ได้มีต้นตออยู่ที่ญี่ปุ่น หากแต่มีเบาะแสที่ชี้ว่าผู้โจมตีใช้ภาษาจีนหรือเกาหลีในการสื่อสาร นอกจากนี้ เหยื่อส่วนมากก็ไม่ได้อยู่ในญี่ปุ่น แต่มุ่งไปที่เกาหลีมากกว่า ญี่ปุ่นจึงกลายเป็นเหยื่อ
ที่ได้รับความเสียหายข้างเคียงจากการโจมตี”

โดยผู้โจมตีมองหาเร้าเตอร์ที่มีช่องโหว่เพื่อเข้าแทรกแซงและแพร่กระจายมัลแวร์โดยใช้เทคนิค DNS Hijacking แต่ทั้งนี้นักวิจัยยังไม่รู้วิธีที่โจรใช้แทรกแซงเร้าเตอร์ กรณีที่ DNS ถูกยึดแล้ว
เมื่อผู้ใช้เข้าใช้งานเว็บไซต์ตามปกติ จะกลายเป็นการเข้าเว็บไซต์ปลอมของโจรไซเบอร์ที่มี URL คล้ายกับเว็บไซต์จริง โดยจะมีข้อความขึ้นใจความว่า “เพื่อการใช้งานเว็บไซต์ที่ดีขึ้น
กรุณาอัพเดท Chrome เป็นเวอร์ชั่นล่าสุด” และเมื่อผู้ใช้งานคลิกที่ลิ้งก์นั้น ก็เป็นการติดตั้งแอพพลิเคชั่นโทรจัน ชื่อ ‘facebook.apk’ หรือ ‘chrome.apk’ ซึ่งมีแบ็คดอร์ของแอนดรอยด์

มัลแวร์ “ Roaming Mantis ” จะเช็คว่าดีไวซ์ที่กำลังโจมตีได้ทำการรูทแล้วหรือยัง การแจ้งเตือนต่างๆ และดูกิจกรรมการเข้าเว็บไซต์ของผู้ใช้ นอกจากนี้ยังสามารถเก็บข้อมูลได้หลากหลายประเภท
รวมถึงข้อมูลการยืนยันตัวตนสองขั้นตอน (two-factor authentication) ผู้เชี่ยวชาญพบว่าโค้ดของมัลแวร์บางส่วนมีข้อมูลอ้างอิงถึงโมบายแบ้งกิ้งและแอพพลิเคชั่นเกมที่นิยม
กันในเกาหลีใต้ เมื่อนำว่าพิจารณาร่วมกันจึงคาดได้ว่าแคมเปญนี้อาจมีแรงจูงใจเกี่ยวกับเรื่องเงิน ลักษณะการออกแบบมัลแวร์ตัวนี้ แสดงให้เห็นถึงความตั้งใจที่จะส่งมัลแวร์แพร่
กระจายทั่วทวีปเอเชีย รองรับ 4 ภาษาคือ เกาหลี จีน ญี่ปุ่น และอังกฤษ

Kaspersky Lab สามารถตรวจจับภัยคุกคามนี้ได้ในชื่อ ‘Trojan-Banker.AndroidOS.Wroba’

Kaspersky Lab ได้ให้คำแนะนำขั้นตอนการป้องกันการเชื่อมต่ออินเทอร์เน็ตด้วยตัวเอง ดังนี้
• ตรวจสอบจากคู่มือเร้าเตอร์ที่ตนใช้งานว่าการตั้งค่า DNS ยังไม่ได้ถูกก่อกวน หรือติดต่อผู้ให้บริการ ISP
• เปลี่ยนการตั้งค่าล็อกอินและพาสเวิร์ดที่ใช้บริหารเร้าเตอร์ผ่านหน้าเว็บไซต์
• ไม่ติดตั้งเฟิร์มแวร์เร้าเตอร์จากแหล่งอื่น หลีกเลี่ยงการใช้งานรีโพซิทอรี่แหล่งอื่นในดีไวซ์ระบบแอนดรอยด์
• อัพเดทเฟิร์มแวร์ขอ

ขอบคุณที่มาข้อมูล Credit by www.it24hrs.com