เอาแล้ว! โทรจันใช้คุณสมบัติของแรนซัมแวร์โจมตีธนาคารบนมือถือ

มีโทรจันแอนดรอยนด์ 2 ตัวที่ขโมยข้อมูลทางการเงิน และการลงทะเบียนเข้าสู่ระบบใช้คุณสมบัติการเข้ารหัสไฟล์ของแรนซัมแวร์ในการโจมตี

อาชญากรไซเบอร์กำลังเพิ่มคุณสมบัติการเข้ารหัสไฟล์เข้าไปในโทรจันธนาคารบนมือถือตัวเดิมๆ เพื่อสร้างภัยคุกคามลูกผสมที่สามารถขโมยข้อมูลสำคัญและล็อคไฟล์ของผู้ใช้ไปพร้อมๆ กัน

หนึ่งในโทรจันดังกล่าวมีชื่อว่า Faketoken ซึ่งการทำงานหลักคือการสร้างหน้าจอเข้าสู่ระบบปลอมของแอพพลิเคชั่นทางการเงินมากกว่า 2,000 ตัวเพื่อขโมยข้อมูลประจำตัวของการเข้าสู่ระบบ นอกจากนั้นแอพอันตรายตัวนี้แสดงหน้าเว็บล่อลวงเพื่อขโมยข้อมูลบัตรเครดิต รวมถึงสามารถอ่านและส่งข้อความต่างๆ ได้

นักวิจัยของแคสเปอร์สกี้แล็บเปิดเผยว่า ผู้สร้าง Faketoken ยังได้เพิ่มความสามารถในการเข้ารหัสไฟล์ของผู้ใช้ที่เก็บไว้ในเอสดีการ์ดของโทรศัพท์ โดยนับตั้งแต่ในเดือนกรกฎาคมที่ผ่านมามีการปล่อยมัลแวร์ที่ติดตั้งฟังก์ชั่นนี้ออกมาหลายพันตัว

โรมัน ยูนูเช็ค นักวิจัยของแคสเปอร์สกี้แล็บ เปิดเผยในการโพสต์เมื่อวันที่ 19 ที่ผ่านมาว่า “เมื่อได้รับคำสั่งที่เกี่ยวข้องโทรจันจะรวบรวมรายชื่อของไฟล์ที่อยู่บนอุปกรณ์ (หน่วยความจำภายนอก, การ์ดหน่วยความจำ) ตาม 89 สกุลไฟล์ที่กำหนดเอาไว้ จากนั้นก็จะเข้ารหัสไฟล์ทั้งหมดเหล่านั้น ซึ่งอัลกอริธึมในการเข้ารหัสแบบสมมาตร AES ถูกนำมาใช้ ซึ่งจะทำให้ผู้ใช้ไม่สามารถถอดรหัสไฟล์เหล่านั้นได้ถ้าไม่จ่ายเงินค่าไถ่”

Faketoken จะปลอมตัวเป็นแอพพลิเคชัน และเกมยอดนิยม หลังจากมัลแวร์ถูกติดตั้งลงบนอุปกรณ์แล้วก็จะส่งข้อความซ้ำๆ แจ้งให้ผู้ใช้ยืนยันสิทธิ์ต่างๆ เพื่อขโมยข้อมูล ปัจจุบันมีอุปกรณ์มากกว่า 16,000 เครื่องใน 27 ประเทศที่ติดมัลแวร์ชนิดนี้ โดยส่วนใหญ่อยู่ในรัสเซีย, ยูเครน, เยอรมนี และประเทศไทย

ยูนูเช็คเผยว่าในแรนซัมแวร์บนมือถือ การเข้ารหัสไฟล์ไม่เป็นที่นิยมเท่ากับเทคนิคการปิดกั้นหน้าจอเพราะมีการสำรองไฟล์จำนวนมากที่ถูกเก็บไว้ในอุปกรณ์มือถือไปไว้บนบริการคลาวด์ ซึ่งสามารถเรียกไฟล์กลับคืนมาได้ไม่ยาก
อย่างไรก็ตามดูเหมือนเหตุผลข้างต้นจะไม่สามารถหยุดยั้งนักพัฒนาในการทดสอบเทคนิคดังกล่าวได้  เมื่อเร็วๆ นี้นักวิจัยจากบริษัทรักษาความปลอดภัยโคโมโดได้ทำการวิเคราะห์โทรจันธนาคารมือถืออีกตัวที่มีชื่อว่า Tordow 2.0 ซึ่งมีความสามารถในการเข้ารหัสไฟล์เช่นเดียวกัน

Tordow 2.0 ได้รวมเอาการโกงหลายรูปแบบที่ใช้เพื่อให้ได้รับสิทธิ์ระดับรูทบนอุปกรณ์ที่ติดเชื้อ โดยจะกระจายแอพพลิเคชันยอดนิยมรุ่นที่มีโทรจันผ่านแอพสโตร์ของบุคคลที่สาม

นักวิจัยของโคโมโดเปิดเผยในบล็อกว่า Tordow 2.0 สามารถโทรศัพท์ ควบคุมข้อความ SMS ดาวน์โหลดและติดตั้งโปรแกรม ขโมยข้อมูลประจำตัวของการเข้าสู่ระบบ เข้าถึงรายชื่อผู้ติดต่อ เข้ารหัสไฟล์ เข้าเว็บ จัดการกับข้อมูลธนาคาร ลบซอฟต์แวร์รักษาความปลอดภัย รีบูตอุปกรณ์ เปลี่ยนชื่อไฟล์ และทำหน้าที่เป็นแรนซัมแวร์

แรนซัมแวร์เป็นรูปแบบธุรกิจที่สร้างผลตอบแทนที่งดงามสำหรับอาชญากรไซเบอร์ และในปีนี้จำนวนของโปรแกรมเข้ารหัสไฟล์ได้เพิ่มขึ้นอย่างรวดเร็ว เมื่อสองปีที่แล้ว นักสังเกตการณ์หลายคนยังสงสัยว่าโปรแกรมแรนซัมแวร์จะเริ่มมุ่งเป้าโจมตีธุรกิจในวงกว้างแค่ไหนเพราะธุรกิจต่างๆ มีขั้นตอนในการสำรองข้อมูลที่ดีกว่าผู้บริโภค

แต่นั่นก็ไม่สามารถหยุดยั้งความพยายามของนักโจมตีได้ โดยปัจจุบันทุกๆ 40 วินาทีจะมีธุรกิจต่างๆ จากที่ไหนสักแห่งในโลกถูกโจมตีจากแรนซัมแวร์  และที่น่าแปลใจไม่น้อยก็คือจำนวนของโปรแกรมแรนซัมแวร์ที่มีการเข้ารหัสไฟล์บนอุปกรณ์พกพาได้เพิ่มขึ้นด้วย แม้ว่าโทรศัพท์มือถือส่วนใหญ่จะมีการสำรองข้อมูลบนคลาวด์ก็ตาม

ผู้ใช้แอนดรอยนด์ควรติดตั้งแอพพลิเคชั่นที่มากจากร้าน Google Play อย่างเป็นทางการเท่านั้น และควรตรวจสอบให้แน่ใจว่าโทรศัพท์ของพวกเขาไม่อนุญาตให้ติดตั้งแอพจากแหล่งที่ไม่รู้จัก นอกจากนี้ควรดาวน์โหลดแอพที่ได้รับการจัดอันดับไว้สูงๆ และอ่านรีวิวจากผู้ใช้แอพดังก่อนนำมาติดตั้งลงบนเครื่อง