แคสเปอร์สกี้ แลป เปิดโปง “โรมมิ่ง แมนทิส” มัลแวร์สมาร์ทโฟนล่าสุดที่กำลังกระหน่ำโจมตีเอเชีย

พุธ ๒๕ เมษายน ๒๐๑๘ ๑๒:๐๔
นักวิจัยของแคสเปอร์สกี้ แลป ค้นพบมัลแวร์แอนดรอยด์ตัวใหม่ล่าสุด กระจายตัวผ่านระบบโดเมนเนมหรือ DNS ของสมาร์ทโฟนโดยใช้เทคนิคการโจมตีแบบ DNS Hijacking ซึ่งเน้นเป้าหมายส่วนใหญ่ที่ทวีปเอเชียนี่เอง แคมเปญร้ายตัวนี้ มีชื่อว่า "โรมมิ่ง แมนทิส" (Roaming Mantis) ออกแบบมาให้ขโมยข้อมูลผู้ใช้งาน ข้อมูลส่วนบุคคล และเปิดช่องให้ผู้โจมตีสามารถควบคุมดีไวซ์ระบบแอนดรอยด์ได้เต็มที่ ในช่วงเดือนกุมภาพันธ์ถึงเมษายน 2018 ที่ผ่านมา นักวิจัยตรวจพบมัลแวร์นี้ในเน็ตเวิร์กจำนวนมากกว่า 150 รายการ ส่วนมากพบที่ประเทศเกาหลีใต้ บังคลาเทศ และญี่ปุ่น แต่คาดว่าน่าจะมีเหยื่อการโจมตีจำนวนมากกว่าที่พบ เชื่อว่า กลุ่มโจรไซเบอร์นี้มีเบื้องหลังปฏิบัติการที่กำลังมองหาเงินรายได้

นายวิทาลี คามลัก ผู้อำนวยการทีมวิเคราะห์และวิจัยของแคสเปอร์สกี้ แลป ประจำภูมิภาคเอเชีแปซิฟิก (GReAT) กล่าวว่า "สื่อต่างๆ ของประเทศญี่ปุ่นเพิ่งลงข่าวการโจมตีนี้ แต่เมื่อเราก็ได้วิจัยเพิ่มขึ้นอีกจึงพบว่าภัยคุกคามนี้ไม่ได้มีต้นตออยู่ที่ญี่ปุ่น หากแต่มีเบาะแสที่ชี้ว่าผู้โจมตีใช้ภาษาจีนหรือเกาหลีในการสื่อสาร นอกจากนี้ เหยื่อส่วนมากก็ไม่ได้อยู่ในญี่ปุ่น แต่มุ่งไปที่เกาหลีมากกว่า ญี่ปุ่นจึงกลายเป็นเหยื่อที่ได้รับความเสียหายข้างเคียงจากการโจมตี"

แคสเปอร์สกี้ แลป พบว่า ผู้โจมตีมองหาเร้าเตอร์ที่มีช่องโหว่เพื่อเข้าแทรกแซงและแพร่กระจายมัลแวร์โดยใช้เทคนิค DNS Hijacking แต่ทั้งนี้นักวิจัยยังไม่รู้วิธีที่โจรใช้แทรกแซงเร้าเตอร์ กรณีที่ DNS ถูกยึดแล้ว เมื่อผู้ใช้เข้าใช้งานเว็บไซต์ตามปกติ จะกลายเป็นการเข้าเว็บไซต์ปลอมของโจรไซเบอร์ที่มี URL คล้ายกับเว็บไซต์จริง โดยจะมีข้อความขึ้นใจความว่า "เพื่อการใช้งานเว็บไซต์ที่ดีขึ้น กรุณาอัพเดท Chrome เป็นเวอร์ชั่นล่าสุด" และเมื่อผู้ใช้งานคลิกที่ลิ้งก์นั้น ก็เป็นการติดตั้งแอพพลิเคชั่นโทรจัน ชื่อ 'facebook.apk' หรือ 'chrome.apk' ซึ่งมีแบ็คดอร์ของแอนดรอยด์

มัลแวร์ "โรมมิ่ง แมนทิส" จะเช็คว่าดีไวซ์ที่กำลังโจมตีได้ทำการรูทแล้วหรือยัง การแจ้งเตือนต่างๆ และดูกิจกรรมการเข้าเว็บไซต์ของผู้ใช้ นอกจากนี้ยังสามารถเก็บข้อมูลได้หลากหลายประเภท รวมถึงข้อมูลการยืนยันตัวตนสองขั้นตอน (two-factor authentication) ผู้เชี่ยวชาญพบว่าโค้ดของมัลแวร์บางส่วนมีข้อมูลอ้างอิงถึงโมบายแบ้งกิ้งและแอพพลิเคชั่นเกมที่นิยมกันในเกาหลีใต้ เมื่อนำว่าพิจารณาร่วมกัน จึงคาดได้ว่าแคมเปญนี้อาจมีแรงจูงใจเกี่ยวกับเรื่องเงิน ลักษณะการออกแบบมัลแวร์ "โรมมิ่ง แมนทิส" แสดงให้เห็นถึงความตั้งใจที่จะส่งมัลแวร์แพร่กระจายทั่วทวีปเอเชีย รองรับ 4 ภาษาคือ เกาหลี จีน ญี่ปุ่น และอังกฤษ

ผลิตภัณฑ์ของแคสเปอร์สกี้ แลป สามารถตรวจจับภัยคุกคามนี้ได้ในชื่อ 'Trojan-Banker.AndroidOS.Wroba'

แคสเปอร์สกี้ แลป ขอแนะนำขั้นตอนการป้องกันการเชื่อมต่ออินเทอร์เน็ตด้วยตัวเอง ดังนี้

- ตรวจสอบจากคู่มือเร้าเตอร์ที่ตนใช้งานว่าการตั้งค่า DNS ยังไม่ได้ถูกก่อกวน หรือติดต่อผู้ให้บริการ ISP

- เปลี่ยนการตั้งค่าล็อกอินและพาสเวิร์ดที่ใช้บริหารเร้าเตอร์ผ่านหน้าเว็บไซต์

- ไม่ติดตั้งเฟิร์มแวร์เร้าเตอร์จากแหล่งอื่น หลีกเลี่ยงการใช้งานรีโพซิทอรี่แหล่งอื่นในดีไวซ์ระบบแอนดรอยด์

- อัพเดทเฟิร์มแวร์ของเร้าเตอร์จากบริษัทผู้ผลิตอย่างสม่ำเสมอ

ข่าวประชาสัมพันธ์ล่าสุด

๑๒:๑๔ องค์การบรรจุภัณฑ์โลก จับมือ อินฟอร์มา มาร์เก็ตส์ ประเทศไทย ร่วมจัดกิจกรรมสัมมนาออนไลน์
๑๒:๑๒ การแข่งขันกีฬาขี่ม้าโปโลรายการ King Power International Ladies' Polo Tournament 2024
๑๒:๔๔ DEXON ปักธงรายได้ปี 67 ทะลุ 700 ลบ. โชว์ Backlog เฉียด 280 ลบ. ล็อคมาร์จิ้น 35-40%
๑๒:๑๐ JPARK ร่วมงาน Dinner Talk ผู้บริหารจดทะเบียนพบนักลงทุน จ.ราชบุรี
๑๒:๒๓ นีเวีย ซัน และ วัตสัน จับมือต่อปีที่สองชวนดูแลท้องทะเล กับโครงการ เพราะแคร์ จึงชวนแชร์ ร่วมพิทักษ์รักษ์ทะเลไทย
๑๒:๕๗ Cloud เทคโนโลยีที่อยู่ใกล้ตัว เพียงแค่คุณไม่รู้เท่านั้นเอง
๑๒:๒๘ โรยัล คานิน ร่วมกับ เพ็ทแอนด์มี จัดงาน Royal Canin Expo 2024: PAWRENTS' DAY เพื่อสร้างโลกที่ดีขึ้นสำหรับน้องแมวและน้องหมา
๑๒:๑๐ STEAM Creative Math Competition
๑๒:๔๔ A-HOST ร่วมวาน MFEC Inspire ขึ้นบรรยายพร้อมจัดบูธ Cost Optimization Pavilion
๑๒:๔๗ ฟินเวอร์! ส่องความคิ้วท์ 'ฟอส-บุ๊ค' ควงคู่ร่วมงาน Discover Thailand เสิร์ฟโมเมนต์ฉ่ำให้แฟนๆ ได้ดับร้อนกันยกด้อมรับซัมเมอร์ และร่วมส่งต่อความสุขในกิจกรรม 'Exclusive Unseen Food Trip กับ คู่ซี้