เตือนระวัง !! ผู้ใช้ Android ค้นพบมัลแวร์ตัวใหม่ Roaming Mantis
มีการค้นพบมัลแวร์ตัวใหม่ที่มุ่งโจมตีผู้ใช้ Android โดยเฉพาะ ผ่านโดเมนเนมหรือ DNS ค้นพบโดย Kaspersky Lab บริษัทวิจัยด้านความปลอดภัย Cyber Security โดยมีรายละเอียด ดังนี้
- เป็นมัลแวร์แอนดรอยด์ตัวใหม่ล่าสุด ชื่อว่า Roaming Mantis (โรมมิ่ง แมนทิส)
- กระจายตัวผ่านระบบโดเมนเนมหรือ DNS ของสมาร์ทโฟน
- ใช้เทคนิคการโจมตีแบบ DNS Hijacking
- เป้าหมายส่วนใหญ่คือทวีปเอเชีย
- ออกแบบมาให้ขโมยข้อมูลผู้ใช้งาน ข้อมูลส่วนบุคคล
- เปิดช่องให้ผู้โจมตีสามารถควบคุมดีไวซ์ระบบแอนดรอยด์ได้เต็มที่
- ถูกปล่อยออกมาในช่วงเดือนกุมภาพันธ์ถึงเมษายน 2018 ที่ผ่านมา
- คาดว่าเบื้องหลังการโจมตีนี้ เมื่อมองหาเงินรายได้
- ผู้โจมตีจะพยายามมองหาเร้าเตอร์ที่มีช่องโหว่เพื่อเข้าแทรกแซงและแพร่กระจายมัลแวร์
- นักวิจัยยังไม่รู้วิธีที่โจรใช้แทรกแซงเร้าเตอร์
- มัลแวร์จะทำการเช็คว่าดีไวซ์ที่กำลังโจมตีได้ทำการรูทแล้วหรือยัง
- พร้อมทั้งแจ้งเตือนต่างๆ และดูกิจกรรมการเข้าเว็บไซต์ของผู้ใช้
- สามารถเก็บข้อมูลได้หลากหลายประเภท รวมถึงข้อมูลการยืนยันตัวตนสองขั้นตอน (two-factor authentication)
- โค้ดของมัลแวร์บางส่วนมีข้อมูลอ้างอิงถึงโมบายแบ้งกิ้งและแอพพลิเคชั่นเกมที่นิยมกันในเกาหลีใต้
- รองรับ 4 ภาษาคือ เกาหลี จีน ญี่ปุ่น และอังกฤษ แสดงให้เห็นถึงเป้าหมายว่าอยู่ในทวีปเอเชีย
ในกรณีที่ DNS ถูกยึดไปแล้ว
- หากผู้ใช้งานเข้าใช้งานตามปกติ
- ระบบจะพาไปเข้าเว็บไซต์ปลอมของโจรที่มี URL ของเว็บไซต์จริง
- มีข้อความปรากฏว่า “เพื่อการใช้งานเว็บไซต์ที่ดีขึ้น กรุณาอัพเดท Chrome เป็นเวอร์ชั่นล่าสุด”
- หากผู้ใช้งานคลิกที่ลิงค์ จะเป็นการติดตั้งโทรจัน ชื่อ ‘apk’ หรือ ‘chrome.apk’ ซึ่งมีแบ็คดอร์ของแอนดรอยด์
Kaspersky Lab สามารถตรวจจับภัยคุกคามนี้ได้ในชื่อ ‘Trojan-Banker.AndroidOS.Wroba’
Kaspersky Lab ให้คำแนะนำการป้องกันการเชื่อมต่ออินเทอร์เน็ตด้วยตัวเอง ดังนี้
- ตรวจสอบจากคู่มือเกี่ยวกับการตั้งค่า DNS ว่ายังไม่ถูกก่อกวน หรือติดต่อผู้ให้บริการ ISP
- เปลี่ยนพาสเวิร์ดที่ใช้บริการเร้าเตอร์ผ่านหน้าเว็บไซต์
- อย่าติดตั้งเฟิร์มแวร์เร้าเตอร์จากแหล่งอื่น หลีกเลี่ยงการใช้งานรีโพซิทอรี่แหล่งอื่นในดีไวซ์ระบบแอนดรอยด์
- อัพเดทเฟิร์มแวร์