Breaking News
Home / ข่าวไอที / แคสเปอร์สกี้ แลป เปิดโปง “โรมมิ่ง แมนทิส” มัลแวร์สมาร์ทโฟนล่าสุดที่กำลังกระหน่ำโจมตีเอเชีย

แคสเปอร์สกี้ แลป เปิดโปง “โรมมิ่ง แมนทิส” มัลแวร์สมาร์ทโฟนล่าสุดที่กำลังกระหน่ำโจมตีเอเชีย

เปิดโปง “โรมมิ่ง แมนทิส”

มัลแวร์สมาร์ทโฟนล่าสุดที่กำลังกระหน่ำโจมตีเอเชีย

 นักวิจัยของแคสเปอร์สกี้ แลป ค้นพบมัลแวร์แอนดรอยด์ตัวใหม่ล่าสุด กระจายตัวผ่านระบบโดเมนเนมหรือ DNS ของสมาร์ทโฟนโดยใช้เทคนิคการโจมตีแบบ DNS Hijacking ซึ่งเน้นเป้าหมายส่วนใหญ่ที่ทวีปเอเชียนี่เอง แคมเปญร้ายตัวนี้ มีชื่อว่า “โรมมิ่ง แมนทิส” (Roaming Mantis) ออกแบบมาให้ขโมยข้อมูลผู้ใช้งาน ข้อมูลส่วนบุคคล และเปิดช่องให้ผู้โจมตีสามารถควบคุมดีไวซ์ระบบแอนดรอยด์ได้เต็มที่ ในช่วงเดือนกุมภาพันธ์ถึงเมษายน 2018 ที่ผ่านมา นักวิจัยตรวจพบมัลแวร์นี้ในเน็ตเวิร์กจำนวนมากกว่า 150 รายการ ส่วนมากพบที่ประเทศเกาหลีใต้ บังคลาเทศ และญี่ปุ่น แต่คาดว่าน่าจะมีเหยื่อการโจมตีจำนวนมากกว่าที่พบ เชื่อว่า กลุ่มโจรไซเบอร์นี้มีเบื้องหลังปฏิบัติการที่กำลังมองหาเงินรายได้

นายวิทาลี คามลัก ผู้อำนวยการทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป ประจำภูมิภาคเอเชีแปซิฟิก (GReAT) กล่าวว่า “สื่อต่างๆ ของประเทศญี่ปุ่นเพิ่งลงข่าวการโจมตีนี้ แต่เมื่อเราก็ได้วิจัยเพิ่มขึ้นอีกจึงพบว่าภัยคุกคามนี้ไม่ได้มีต้นตออยู่ที่ญี่ปุ่น หากแต่มีเบาะแสที่ชี้ว่าผู้โจมตีใช้ภาษาจีนหรือเกาหลีในการสื่อสาร นอกจากนี้ เหยื่อส่วนมากก็ไม่ได้อยู่ในญี่ปุ่น แต่มุ่งไปที่เกาหลีมากกว่า ญี่ปุ่นจึงกลายเป็นเหยื่อที่ได้รับความเสียหายข้างเคียงจากการโจมตี”

แคสเปอร์สกี้ แลป พบว่า ผู้โจมตีมองหาเร้าเตอร์ที่มีช่องโหว่เพื่อเข้าแทรกแซงและแพร่กระจายมัลแวร์โดยใช้เทคนิค DNS Hijacking แต่ทั้งนี้นักวิจัยยังไม่รู้วิธีที่โจรใช้แทรกแซงเร้าเตอร์ กรณีที่ DNS ถูกยึดแล้ว เมื่อผู้ใช้เข้าใช้งานเว็บไซต์ตามปกติ จะกลายเป็นการเข้าเว็บไซต์ปลอมของโจรไซเบอร์ที่มี URL คล้ายกับเว็บไซต์จริง โดยจะมีข้อความขึ้นใจความว่า “เพื่อการใช้งานเว็บไซต์ที่ดีขึ้น กรุณาอัพเดท Chrome เป็นเวอร์ชั่นล่าสุด” และเมื่อผู้ใช้งานคลิกที่ลิ้งก์นั้น ก็เป็นการติดตั้งแอพพลิเคชั่นโทรจัน ชื่อ ‘facebook.apk’ หรือ ‘chrome.apk’ ซึ่งมีแบ็คดอร์ของแอนดรอยด์

มัลแวร์ “โรมมิ่ง แมนทิส” จะเช็คว่าดีไวซ์ที่กำลังโจมตีได้ทำการรูทแล้วหรือยัง การแจ้งเตือนต่างๆ และดูกิจกรรมการเข้าเว็บไซต์ของผู้ใช้ นอกจากนี้ยังสามารถเก็บข้อมูลได้หลากหลายประเภท รวมถึงข้อมูลการยืนยันตัวตนสองขั้นตอน (two-factor authentication) ผู้เชี่ยวชาญพบว่าโค้ดของมัลแวร์บางส่วนมีข้อมูลอ้างอิงถึงโมบายแบ้งกิ้งและแอพพลิเคชั่นเกมที่นิยมกันในเกาหลีใต้ เมื่อนำว่าพิจารณาร่วมกัน จึงคาดได้ว่าแคมเปญนี้อาจมีแรงจูงใจเกี่ยวกับเรื่องเงิน ลักษณะการออกแบบมัลแวร์ “โรมมิ่ง แมนทิส” แสดงให้เห็นถึงความตั้งใจที่จะส่งมัลแวร์แพร่กระจายทั่วทวีปเอเชีย รองรับ 4 ภาษาคือ เกาหลี จีน ญี่ปุ่น และอังกฤษ

ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับภัยคุกคามนี้ได้ในชื่อ ‘Trojan-Banker.AndroidOS.Wroba’

แคสเปอร์สกี้ แลป ขอแนะนำขั้นตอนการป้องกันการเชื่อมต่ออินเทอร์เน็ตด้วยตัวเอง ดังนี้

  • ตรวจสอบจากคู่มือเร้าเตอร์ที่ตนใช้งานว่าการตั้งค่า DNS ยังไม่ได้ถูกก่อกวน หรือติดต่อผู้ให้บริการ ISP
  • เปลี่ยนการตั้งค่าล็อกอินและพาสเวิร์ดที่ใช้บริหารเร้าเตอร์ผ่านหน้าเว็บไซต์
  • ไม่ติดตั้งเฟิร์มแวร์เร้าเตอร์จากแหล่งอื่น หลีกเลี่ยงการใช้งานรีโพซิทอรี่แหล่งอื่นในดีไวซ์ระบบแอนดรอยด์
  • อัพเดทเฟิร์มแวร์ของเร้าเตอร์จากบริษัทผู้ผลิตอย่างสม่ำเสมอ

Related posts

About ข่าวไอที 24 ชั่วโมง

ข่าวไอที 24 ชั่วโมง ข่าวไอที ข่าว IT ข่าวเทคโนโลยี สินค้าไอทีมาใหม่ รีวิวสินค้าไอที

Check Also

รายงานผลการสำรวจผลกระทบด้านความปลอดภัยเครือข่ายจากการปฏิรูประบบดิจิทัลปี 2018 (Fortinet’s 2018 Security Implications of Digital Transformation Report)

รายงานผลการสำรว …

%d bloggers like this: