แคสเปอร์สกี้ แลป พบ Triada มัลแวร์โมบายใหม่ บุกรุกสมองของแอนดรอยด์

ข่าวประชาสัมพันธ์ » ศุกร์ 25 มีนาคม 2559 09:21 น.

          ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ตรวจพบไทรอาด้า (Triada) โทรจันตัวใหม่ล่าสุดที่มุ่งโจมตีโมบายดีไวซ์ระบบแอนดรอยด์เวอร์ชั่น 4.4.4 และเวอร์ชั่นต่ำกว่า มีความซับซ้อนเทียบเท่ามัลแวร์ระบบวินโดวส์ เขียนขึ้นโดยอาชญากรไซเบอร์ที่มีความเชี่ยวชาญ
          จากผลการวิจัยล่าสุดของแคสเปอร์สกี้ แลป เรื่อง "Mobile malware evolution 2015" พบว่า โทรจันยอดฮิต 20 รายการในปี 2015 นั้น จำนวนเกือบครึ่งเป็นมัลแวร์ที่มีความสามารถในการแอคเซสข้อมูลแบบซุปเปอร์ยูสเซอร์ ซึ่งจะให้สิทธิ์แก่โจรไซเบอร์ในการติดตั้งแอพพลิเคชั่นบนมือถือโดยที่เจ้าของไม่รู้ตัว
          มัลแวร์ประเภทนี้จะแพร่กระจายผ่านแอพพลิเคชั่นที่ผู้ใช้งานดาวน์โหลดหรือติดตั้งจากแหล่งที่ไม่น่าเชื่อถือ บางครั้งแอพพลิเคชั่นเหล่านี้ก็พบได้ในแอพสโตร์ของกูเกิ้ล แฝงตัวมาในรูปของเกมและแอพบันเทิง อาจติดตั้งลงเครื่องระหว่างการอัพเดทแอพอื่นๆ และอาจติดตั้งไว้ในเครื่องไว้ก่อนแล้ว
          โมบายโทรจันที่มีสิทธิ์เข้าถึงรูทได้ มีทั้งหมด 11 ตระกูล โดยมี 3 ตระกูล คือ Ztorg, Gorpo และ Leech ที่ทำงานร่วมกัน ดีไวซ์ที่ติดเชื้อโทรจันเหล่านี้จะแอคเซสเน็ตเวิร์ก และสร้างบ็อตเน็ตสำหรับติดตั้งแอดแวร์
          นอกจากนี้ เมื่อทำการรูทเครื่องแล้ว โทรจันจะดาวน์โหลดและติดตั้งแบ็คดอร์ จากนั้นจะดาวน์โหลดและเปิดใช้งานโมดูล 2 รายการ ที่มีความสามารถในการดาวน์โหลด ติดตั้ง และเปิดแอพพลิเคชั่นได้เอง
          แอพพลิเคชั่นโหลดเดอร์และโมดูลในการติดตั้งจะแตกต่างกันไปตามโทรจันแต่ละตัว แต่รายการทั้งหมดนี้ถูกเพิ่มเข้าในดาต้าเบสแอนตี้ไวรัสภายใต้ชื่อ "ไทรอาด้า"
          เข้าถึงกระบวนการแม่ของแอนดรอยด์
          ฟีเจอร์ที่น่าสนใจของมัลแวร์นี้ คือการใช้งาน Zygote ซึ่งเป็นกระบวนการแม่ของแอพพลิเคชั่นในดีไวซ์ระบบแอนดรอยด์ ประกอบด้วยข้อมูลระบบและขอบข่ายงานของแอพพลิเคชั่นทุกตัวที่ติดตั้งในดีไวซ์ กล่าวคือ Zygote คือตัวเปิดใช้งานแอพพลิเคชั่น เป็นขั้นตอนมาตรฐานของแอพในการทำงาน ซึ่งกล่าวได้ว่า หากโทรจันเข้าสู่ระบบ จะกลายเป็นส่วนหนึ่งของกระบวนการทำงานของแอพและสามารถเปลี่ยนแปลงการทำงานของแอพพลิเคชั่นได้ตามต้องการ
          ก่อนหน้านี้ เทคโนโลยีนี้เป็นแค่เพียงแนวคิดเท่านั้น โทรจันไทรอาด้าจึงนับเป็นมัลแวร์ตัวแรกที่สามารถปฏิบัติการเช่นนี้ได้
          มัลแวร์ตัวนี้มีความสามารถในการหลบซ่อนขั้นสูง ไทรอาด้าจะเข้าระบบการทำงานและฝังตัวในหน่วยความจำสั้นของดีไวซ์ ทำให้ใช้โซลูชั่นแอนตี้ไวรัสตรวจจับและการลบได้ยากขึ้น ไทรอาด้าปฏิบัติงานเงียบๆ ซ่อนตัวหลบไม่ให้ผู้ใช้งานและแอพพลิเคชั่นอื่นๆ ตรวจพบ
รูปแบบการทำงานของไทรอาด้า
          โทรจันไทรอาด้าสามารถดัดแปลงข้อความ SMS ที่ส่งออกโดยแอพพลิเคชั่นอื่น ซึ่งนับเป็นฟังก์ชั่นใหม่ของมัลแวร์เลยทีเดียว เมื่อผู้ใช้งานทำการซื้อขายผ่านแอพเกมด้วย SMS โจรไซเบอร์จะแก้ไขข้อมูลเพื่อรับเงินแทนเจ้าของเกมตัวจริง
          "โทรจัน Ztorg, Gorpo และ Leech ของไทรอาด้า สร้างมิติใหม่ของวิวัฒนาการของภัยคุกคามแอนดรอยด์ เป็นมัลแวร์กลุ่มแรกที่แพร่กระจายเพื่อหวังผลการเพิ่มสิทธิพิเศษในดีไวซ์ ผู้ใช้ส่วนใหญ่ที่ถูกโจมตีมีภูมิลำเนาอยู่ที่รัสเซีย อินเดีย ยูเครน รวมถึงประเทศต่างๆ ในเอเชียแปซิฟิก มัลแวร์นี้สร้างขึ้นโดยอาชญากรไซเบอร์ที่มีความรู้ความเชี่ยวชาญด้านแพลตฟอร์มโมบายเป็นอย่างดี การคุกคามดีไวซ์ในขั้นแรกนี้ ก็เพื่อต้องการเข้าถึงดีไวซ์โดยใช้แอพพลิเคชั่นร้ายที่มีความซับซ้อนและรุนแรงมากยิ่งขึ้นอีก จึงไม่ควรมองข้ามอันตรายของมัน" นิกิต้า บุชก้า นักวิเคราะห์มัลแวร์ แคสเปอร์สกี้ แลป
          การถอนการติดตั้งมัลแวร์ออกจากเครื่องทำได้ยากมาก ผู้ใช้งานมีทางเลือกในการกำจัดมัลแวร์แค่สองทาง นั่นคือ การรูทดีไวซ์และลบแอพพลิเคชั่นร้ายด้วยตนเอง และการเจลเบรคระบบแอนดรอยด์ของดีไวซ์
          ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับไทรอาด้าได้ในชื่อ Trojan-Downloader.AndroidOS.Triada.a; Trojan-SMS.AndroidOS.Triada.a; Trojan-Banker.AndroidOS.Triada.a; Backdoor.AndroidOS.Triada.

ข้อมูลเพิ่มเติม
• Attack on Zygote: a new twist in the evolution of mobile threats
https://securelist.com/analysis/publications/74032/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats
• Mobile malware evolution 2015
https://securelist.com/analysis/kaspersky-security-bulletin/73839/mobile-malware-evolution-2015/

แคสเปอร์สกี้ แลป พบ Triada มัลแวร์โมบายใหม่ บุกรุกสมองของแอนดรอยด์

ข่าวแคสเปอร์สกี้ แลป+แคสเปอร์สกี้วันนี้

แคสเปอร์สกี้ แลป เผย “ShadowHammer” โจมตีแบบซัพพลายเชนทั่วโลก พบผู้ใช้ไทยโดนโจมตี 376 เครื่อง

แคสเปอร์สกี้ แลป เปิดเผยการค้นพบ "ShadowHammer" ปฏิบัติการ APT ล่าสุดที่กระทบผู้ใช้งานจำนวนมากโดยใช้วิธีการโจมตีซัพพลายเชน มีเป้าหมายโจมตีผู้ที่ใช้งาน ASUS Live Update Utility โดยอาชญากรไซเบอร์ได้แพร่มัลแวร์ผ่านทางแบ็กดอร์ช่วงเดือนมิถุนายนถึงพฤศจิกายนปีที่แล้ว ผู้เชี่ยวชาญคาดว่าจะมีผู้ใช้ที่ได้รับผลกระทบมากกว่าหนึ่งล้านรายทั่วโลก พบผู้ใช้ไทยจำนวน 376 รายถูกโจมตี การโจมตีซัพพลายเชนเป็นหนึ่งในวิธีการที่อันตรายที่สุดและมีประสิทธิภาพที่สุด เริ่มแพร่ระบาดมากในปฏิบัติการโจมตีขั้นสูงในช่วง 2-3

01 เมษายน 2562 13:36 น.

แคสเปอร์สกี้ แลป เผย แบงกิ้งโทรจัน RTM ลุยโจมตีกลุ่มธุรกิจไปแล้วมากกว่า 130,000 ราย — นักวิจัยของแคสเปอร์สกี้ แลปตรวจพบกิจกรรมของโทรจัน RTM Banking Trojan... มี.ค. 62

แคสเปอร์สกี้ แลป ได้รับรางวัล CEIA Award 2018 สาขาความปลอดภัยไซเบอร์ — ด้วยเทคโนโลยีและโซลูชั่นด้านความปลอดภัยชั้นนำ ทำให้แคสเปอร์สกี้ แลป ได้รับรางวัล CE... ก.พ. 62

แคสเปอร์สกี้ แลป เตือนนายจ้างระวังลูกจ้างเก่าใช้ช่องทางเพื่อแก้แค้นทางไซเบอร์ — การเปลี่ยนลูกจ้างนับเป็นส่วนหนึ่งของการดำเนินธุรกิจ แต่ในบางกรณีก็ส่งผลร้... ก.พ. 62

แคสเปอร์สกี้ แลป สกัดภัยไซเบอร์มุ่งโจมตีไทยได้มากกว่า 5 ล้านรายการ — แคสเปอร์สกี้ แลป ประกาศรายงานด้านความปลอดภัยไซเบอร์ล่าสุดประจำไตรมาสที่ 4 ปี 2018 ซึ... ก.พ. 62

แคสเปอร์สกี้ แลป พบช่องโหว่ของตัวชาร์จรถไฟฟ้า ที่สามารถสร้างความเสียหายต่อเน็ตเวิร์กบ้านได้ — โดยปกติแล้วจะมีการทดสอบช่องโหว่ต่างๆ ของยานยนต์ไฟฟ้ารุ่นใหม... ม.ค. 62

แคสเปอร์สกี้ แลป คาดการณ์ภัยคุกคาม 2019: ผู้ร้ายไซเบอร์จะงัดอาวุธหนักพร้อมกลยุทธ์ใหม่ หวังโจมตีทำลายล้าง — จากรายงาน "Targeted Threat Predictions for 2019... ธ.ค. 61

แคสเปอร์สกี้ แลป แต่งตั้ง วีเอสที อีซีเอส เสริมทัพตัวแทนจัดจำหน่ายในไทยเพิ่ม พร้อมตั้งเป้าขยายตลาด B2B — แคสเปอร์สกี้ แลป ต่อยอดสร้างการเติบโตไปอีกขึ้นด้ว... ธ.ค. 61

แคสเปอร์สกี้ แลป สรุปตัวเลขเด่นด้านความปลอดภัย 2018 — แคสเปอร์สกี้ แลป เปิดเผยว่า จากจำนวนข้อมูลไฟล์มุ่งร้ายใหม่ทั้งหมดที่ตรวจพบในปี 2018 มีจำนวนแรนซัมแว... ธ.ค. 61

แคสเปอร์สกี้ แลป เริ่มประมวลผลข้อมูลลูกค้ายุโรปที่ซูริค พร้อมเปิดศูนย์โปร่งใสแห่งแรก — นับจากวันที่ 13 พฤศจิกายน 2018 เป็นต้นไป การประมวลผลไฟล์มุ่งร้ายแล... พ.ย. 61