Credit: ShutterStock.com
พบมัลแวร์บนมือถือฟังก์ชันการโจมตีครบเครื่องที่เป็นได้ทั้ง Banking Trojan และ Ransomware ซึ่งมีการโจมตีเหยื่อไปแล้วกว่า 70,000 ครั้งในเวลาเพียง 3 เดือน โดยก่อนหน้านี้ปี 2014 ทีม Kaspersky ได้ศึกษาการปรากฏตัวขึ้นของมัลแวร์ดังกล่าวพบว่ามีความสามารถในหลายด้าน
ช่องทางการสื่อสารมีหลายช่องทาง
ฟีเจอร์ที่โดดเด่นของ Rotexy คือสามารถสื่อสารได้ถึง 3 ช่องทางคือ
-
นักวิจัยพบว่ามัลแวร์สามารถรับคำสั่งผ่านทาง Google Cloud Messaging (GCM) ได้ซึ่งอยู่ในรูปแบบของ JSON แต่ Google เตรียมปิดช่องทางนี้ใน 11 เมษายน ปีหน้าทำให้ช่องทางนี้กำลังจะหมดพิษสงลง
-
มีการรับคำสั่งผ่านเซิร์ฟเวอร์ (C2 หรือ Command and control) เหมือนมัลแวร์ทั่วไปได้
-
สามารถรับคำสั่งเพื่อปฏิบัติการผ่านทาง SMS ของมือถือ
มีรายงานจาก 2 นักวิจัยคือ Tatyana Shishkova และ Lev Pinkman ได้จัดทำเอกสารพัฒนาการของ Rotexy ไว้ว่ามีความโดดเด่น เช่น กระบวนการในการสื่อสารผ่านทาง SMS หรือใช้การเข้ารหัส AES กับคำสั่งที่ส่งไปยังเซิร์ฟเวอร์ C2 ด้วย โดยในช่วงปลายปี 2016 มัลแวร์ได้มุ่งเน้นในเรื่องของการโขมยข้อมูลบัตรธนาคารด้วย Phishing Page ต่อมาก็ยังพัฒนาการกลยุทธ์ให้ดีมากขึ้น
มุ่งขอสิทธิ์ระดับ Admin
Rotexy มีฟังก์ที่สามารถเช็คว่าตัวเองรันอยู่ในระบบจริงหรือไม่และประเทศอะไรซึ่งในกรณีที่ผู้ใช้อยู่ในรัสเซียแล้วติดไปจะทำการลงทะเบียน GCM แต่มัลแวร์ตัวนี้ได้ใช้เทคนิคที่น่ารำคาญในการร้องขอสิทธิ์ระดับ Admin โดยจะวนลูปไปเรื่อยๆ เพื่อจะขอสิทธิ์ให้ได้ สามารถดูรูปตามได้ด้านล่าง
เรียกค่าไถ่
Rotexy ยังมีฟีเจอร์แอบสื่อสารผ่านทาง SMS จากเหยื่อโดยการทำให้โทรศัพท์เป็นโหมดไม่มีเสียงและปิดหน้าจอเมื่อได้รับข้อความ จากนั้นจะโชว์เพจ HTML ที่มีข้อความเรียกค่าไถ่และโชว์รูปอนาจารพร้อมกับทำให้โทรศัพท์อยู่ที่หน้านั้น เคราะห์ดีที่นักวิจัยไปพบว่าสามารถปลดล็อกได้ด้วยการส่งข้อความ SMS ว่า ‘3458’ เพื่อเรียกสิทธิ์ Admin คืนและหยุดการบล็อกของมัลแวร์ โดยหลังจากนั้นมัลแวร์อาจเริ่มขอสิทธิ์ใหม่ ดังนั้นต้องเข้า Safe Mode และไปลบมัลแวร์ออก ซึ่งวิธีการดังกล่าวนักวิจัยย้ำว่าใช้ได้กับเวอร์ชันปัจจุบันของมัลแวร์เท่านั้นแต่ไม่รับประกันกับการพัฒนาของเวอร์ชันใหม่ในอนาคต
อย่างไรก็ตามเหยื่อส่วนใหญ่เป็นประเทศรัสเซียแต่ก็มีรายงานเกิดขึ้นในพื้นที่อื่นด้วย เช่น ยูเครน เยอรมัน ตุรกี และอื่นๆ ดังนั้นจะเห็นได้ว่ามัลแวร์มือถือเริ่มได้รับความนิยมและรุนแรงขึ้นเรื่อยๆ แล้วนะครับ
———————————————————–
ที่มา : TECHTALK Thai / November 23, 2018
Link : https://www.techtalkthai.com/rotexy-mobile-trojan-operates-over-70000-times-in-3-months/
