ແຈ້ງເຕືອນແລະຂໍ້ແນະນຳຜູ້ໃຊ້ທົ່ວໄປ

ເລື່ອງ: ລະ​ວັງ​ໄພ ມັນ​ແວລ໌​ໃນ Android ຫລອກ​ລັກ​ເງິນ​ຈາກ​ທະ​ນາ​ຄານ

ປະ​ເພດ​ການ​ໄພ​ຂົ່ມ​ຂູ່: Malicious Code  

ຂໍ້​ມູນ​ທົ່ວໄປ 

ຈາກ​ທີ່​ມີ​ການ​ເຜີຍແຜ່​ຂໍ້​ມູນ​ໃນ​ງານ CDIC2013 ທີ່​ຈັດ​ຂຶ້ນ​ເມື່ອ​ວັນທີ 27 - 28 ກຸມພາ 2556 ເລື່ອງ​ມັນ​ແວລ໌​ໃນ​ລະບົບ​ປະຕິບັດການ Android ຫລອກ​ລັກ​ເງິນ​ຈາ​ກົດ​ນາ​ຄານ  [1]  ທາງ​ໄທ​ເຊີດ​ໄດ້​ກວດ​ສອບ​ເວັບ​ໄຊທີ່​ເຜີຍແຜ່​ມັນ​ແວລ໌​ ແລະ​ ໄດ້​ກໍ່ການ​ວິ​ເຄາະ​ມັນ​ແວລ໌​ດັ່ງ​ກ່າວ ໄດ້​ຜົນ​ສະຫລຸບ​ດັ່ງ​ນີ້

ໃນ​ການ​ໂຈມ​ຕີ ຜູ້​ບໍ່​ຫວັງ​ດີ​ໄດ້​ສົ່ງ SMS ມາຍັງ​ໂທລະ​ສັບ​ມື​ຖື​ຂອງ​ເຫຍື່ອ ຂໍ້ຄວາມ​ໃນ SMS ລະ​ບຸ​ລິ້ງສຳລັບ​ດາວໂຫລດ​ໄຟລ໌. apk ຊຶ່ງ​ເປັນ​ແອບ​ພິ​ເຄ​ຊັ່ນ​ຂອງ​ລະບົບ​ປະຕິບັດການ Android ໂດຍ​ລິ້ງ​ທີ່​ໃຫ້​ດາວໂຫລດ​ໄຟລ໌​ດັ່ງ​ກ່າວ​ຄື  [2]   [3]

  • http://scb. <ສະ​ຫງວນ​ຂໍ້​ມູລ>. info/scbeasy. apk
    • File Name: scbeasy.apk
    • File size: 235093 bytes
    • MD5: 1108B16034254CA989B84A48E8E03D78
    • SHA1: D504E50CB4560B7E8AF3E9D868975D3A83E8EEB3
  • http://kasikorn. <ສະ​ຫງວນ​ຂໍ້​ມູລ>. info/ibanking. apk
    • File Name: ibanking.apk
    • File size: 266157 bytes
    • MD5: 06806E271792E7E521B28AD713601F2E
    • SHA1: 76CE639C5FFEA7B25455A219011B28E36A6458E6

ຫາກ​ຜູ້​ໃຊ້​ເຂົ້າໄປ​ຍັງ​ໜ້າທຳອິດຂອງ​ເວັບ​ໄຊທີ່​ເຜີຍແຜ່​ມັນ​ແວລ໌​ໂດຍ​ບໍ່​ລະ​ບຸ​ພາດ​ຂອງ​ໄຟລ໌. apk ຈະ​ພົບ​ວ່າ​ໜ້າ​ເວັບ​ໄຊດັ່ງ​ກ່າວ Redirect ໄປ​ຍັງ​ໜ້າ​ເວັບ​ໄຊຈິງ​ຂອງທະ​ນາ​ຄານ ຊຶ່ງ​ຜູ້​ບໍ່​ຫວັງ​ດີ​ໃຊ້​ວິທີ​ນີ້​ໃນ​ການ​ຫລອກລວງ​ເຫຍື່ອ​ໃຫ້​ເຊື່ອ​ວ່າ​ເວັບ​ໄຊດັ່ງ​ກ່າວ​ນີ້​ເປັນ​ເວັບ​ໄຊຈິງ​ຂອງທະນາ​ຄານ

ທີມ​ໄທເຊີດໄດ້​ກວດ​ສອບ​ຂໍ້​ມູນ​ທີ່​ຢູ່ໃນ​ໄຟລ໌. apk ທັງ​ສອງ​ໄຟລ໌ ພົບ​ວ່າ​ມີ​ໂຄງ​ສ້າງ​ພາຍ​ໃນ​ຄືກັນ ດັ່ງ​ຮູບ​ທີ່ 1 ໂດຍ​ມີ​ສ່ວນ​ທີ່​ແຕກ​ຕ່າງ​ຄື​ໄຟລ໌​ກາ​ຟ​ຟິກ​ທີ່​ຢູ່ໃນ​ໄດ​ເລກ​ທໍ​ລີ drawable ຈະ​ເປັນ​ໂລ​ໂກ້​ຂອງທະນາ​ຄານ​ທີ່​ຖືກ​ຜູ້​ບໍ່​ຫວັງ​ດີ​ແອບ​ອ້າງ

ຮູບ​ທີ 1 ປຽບທຽບ​ໂຄງ​ສ້າງ​ຂອງ​ໄຟລ໌ ibanking. apk ແລະ scbeasy. apk

ເມື່ອ​ກວດ​ສອບ​ຂໍ້​ມູນ​ໃນ​ໄຟລ໌ AndroidManifest. xml ຂອງ​ທັງ​ສອງ​ໄຟລ໌ ພົບ​ວ່າ​ໃຊ້​ຊື່ package ຄືກັນ​ຄື "com. fake. site" ດັ່ງ​ຮູບ​ທີ 2

ຮູບ​ທີ 2 ຂໍ້​ມູນ​ໃນ​ໄຟລ໌ AndroidManifest. xml

ໄຟລ໌ AndroidManifest. xml ເປັນ​ໄຟລ໌​ທີ່​ໃຊ້​ກຳນົດ​ຄຸນສົມບັດ​ຂອງ​ແອບ​ພິ​ເຄ​ຊັ່ນ ລວມ​ເຖິງ​ກຳນົດ​ສິດ​ທິ (Permission) ທີ່​ແອບ​ພິ​ເຄ​ຊັ່ນ​ນັ້ນ​ສາມາດ​ເຂົ້າ​ເຖິງ​ໄດ້  [4]  ຊຶ່ງ​ຈາກ​ຂໍ້​ມູນ​ດັ່ງ​ກ່າວ ພົບ​ວ່າ​ທັງ​ສອງ​ແອບ​ພິ​ເຄ​ຊັ່ນ​ມີ​ຄວາມ​ສາມາດ​ໃນ​ການ​ຂຽນ​ຂໍ້​ມູນ​ລົງ​ໃນ External storage (ເຊັ່ນ SD Card) ແລະ​ ຮັບ​ສົ່ງ SMS ຢ່າງໃດ​ກໍ​ຕາມ ທັງ​ສອງ​ແອບ​ພິ​ເຄ​ຊັ່ນ​ນີ້​ບໍ່​ສາມາດ​ເຊື່ອມ​ຕໍ່​ອິນ​ເຕີ​ເນັດ​ໄດ້

ເມື່ອ​ກວດ​ສອບ​ໂຄ​ດ​ຂອງ​ທັງ​ສອງ​ແອບ​ພິ​ເຄ​ຊັ່ນ ພົບ​ວ່າ​ມີ​ຟັງ​ຊັ່ນ​ໃນ​ການ​ສົ່ງ SMS ໄປ​ຍັງ​ໝາຍ​ເລກ​ໂທລະສັບ​ທີ່​ຢູ່ໃນ​ປະເທດ​ລັດ​ເຊຍ ດັ່ງ​ຮູບ​ທີ 3

ຮູບ​ທີ 3 ໝາຍ​ເລກ​ໂທລະສັບ​ທີ່​ຈະ​ສົ່ງ SMS ໄປ

ແລະ ​ພົບ String ທີ່​ເປັນ​ລະ​ຫັດ Unicode ຊຶ່ງ​ສາມາດ​ແປງ​ກັບ​ໄດ້​ເປັນ​ຂໍ້ຄວາມ​ພາສາ​ໄທ​ວ່າ ລະ​ຫັດ​ຜ່ານ​ບໍ່​ກົງ​ກັນດັ່ງ​ຮູບ​ທີ 4 

ຮູບ​ທີ 4 String ທີ່​ພົບ​ໃນ​ແອບ​ພິ​ເຄ​ຊັ່ນ

ເມື່ອ​ທົດລອງ​ຕິດ​ຕັ້ງ​ທັງ​ສອງ​ແອບ​ພິ​ເຄ​ຊັ່ນ​ລົງ​ໃນ​ໂປຣ​ແກຣມ Android emulator ພົບ​ໄອ​ຄອນ​ຂອງ​ແອບ​ພິ​ເຄ​ຊັ່ນ​ທີ່​ຊື່ certificate ດັ່ງ​ຮູບ​ທີ 5

ຮູບ​ທີ 5 ໄອ​ຄອນ​ຂອງ​ແອບ​ພິ​ເຄ​ຊັ່ນ​ທີ່​ຖືກ​ຕິດ​ຕັ້ງ

ເມື່ອ​ເປີດ​ເຂົ້າໄປ​ຍັງ​ແອບ​ພິ​ເຄ​ຊັ່ນ​ດັ່ງ​ກ່າວ ຈະ​ພົບ​ໜ້າ​ຈໍ​ໃຫ້​ໃສ່​ລະ​ຫັດ​ຜ່ານ​ສຳລັບ​ເຂົ້າ​ໃຊ້​ງານ​ບັນ​ຊີດ​ນາ​ຄານ​ອອນ​ໄລນ໌ ດັ່ງ​ຮູບ​ທີ່ 6 ຫາກ​ໃສ່​ລະ​ຫັດ​ຜ່ານ​ທັງ​ສອງ​ຊ່ອງ​ບໍ່​ກົງ​ກັນ ຈະ​ປາກົດ​ຂໍ້ຄວາມ​ວ່າ “ລະ​ຫັດ​ຜ່ານ​ບໍ່​ກົງ​ກັນ”

ຮູບ​ທີ 6 ຕົວ​ຢ່າງ​ໜ້າ​ຈໍ​ແອບ​ພິ​ເຄ​ຊັ່ນ​ປອມ​ຂອງ​ນາ​ຄານ​ອອນ​ໄລນ໌

ເມື່ອ​ປ້ອນຫັດ​ຜ່ານ ​ແລະ ​ກົດ​ປຸ່ມ “ຕໍ່” ຈະ​ພົບ​ໜ້າ​ຈໍ​ດັ່ງ​ຮູບ​ທີ່ 7

ຮູບ​ທີ 7 ຕົວ​ຢ່າງ​ໜ້າ​ຈໍ​ຫລັງ​ກອກ​ຂໍ້​ມູ​ນ​ຫັດ​ຜ່ານ

ຈາກ​ການ​ໃຊ້​ຄຳ​ສັ່ງ logcat  [5]  ເພື່ອ​ບັນ​ທຶກ Log ຂອງ​ສິ່ງ​ທີ່ເກິດຂື້ນ​ໃນ​ລະບົບ ພົບ​ວ່າ​ມີ​ການ​ສົ່ງ SMS ອອກ​ໄປ​ຍັງ​ໝາຍ​ເລກ​ໂທລະ​ສັບ​ຕາມ​ທີ່​ປາກົດ​ຢູ່ໃນ​ໂຄດ​ຂອງ​ແອບ​ພິ​ເຄ​ຊັ່ນ ດັ່ງ​ຮູບ​ທີ່ 8

ຮູບ​ທີ 8 Log ສະແດງ​ການ​ສົ່ງ SMS 

 

ຜົນ​ກະທົບ 

ຜູ້​ໃຊ້​ທີ່​ຕິດ​ຕັ້ງ​ແອບ​ພິ​ເຄ​ຊັ່ນ​ດັ່ງ​ກ່າວ​ອາດ​ຖືກ​ຫລອກ​ໃຫ້​ກອກ​ຂໍ້​ມູນ​ທີ່​ກ່ຽວ​ຂ້ອງ​ກັບ​ບັນ​ຊີທະນາ​ຄານ​ອອນ​ໄລນ໌ ແລ້ວ​ຖືກ​ຜູ້​ບໍ່​ຫວັງ​ດີ​ລັກ​ບັນ​ຊີ​ຜູ້​ໃຊ້ ຊຶ່ງ​ອາດ​ນຳ​ໄປ​ສູ່​ການ​ລັກ​ເງີນ​ຈາ​ກທະນາ​ຄານ​ໃນ​ພາຍ​ຫລັງ​ໄດ້ 

ລະບົບ​ທີ່​ມີ​ຜົນ​ກະທົບ 

ລະບົບ​ປະຕິບັດການ Android ທີ່​ຕິດ​ຕັ້ງ​ແອບ​ພິ​ເຄ​ຊັ່ນ​ປອມ​ຂອງທະ​ນາ​ຄານ​ອອນ​ໄລນ໌ 

ຂໍ້​ແນະ​ນຳ​ໃນ​ການ​ປ້ອງ​ກັນ ​ແລະ​ ແກ້​ໄຂ

ຈະ​ເຫັນ​ໄດ້​ວ່າ ການ​ໂຈມ​ຕີ​ດັ່ງ​ກ່າວ​ນີ້​ເກີດ​ຈາກ​ການ​ທີ່​ຜູ້​ບໍ່​ຫວັງ​ດີ​ຫລອກ​ໃຫ້​ຜູ້​ໃຊ້​ຕິດ​ຕັ້ງ​ແອບ​ພິ​ເຄ​ຊັ່ນ​ຫລອກລວງ​ທີ່​ອ້າງ​ວ່າ​ສາມາດ​ເຂົ້າ​ໃຊ້​ງານ​ບັນ​ຊີທະ​ນາ​ຄານ​ອອນ​ໄລນ໌​ໄດ້ ໂດຍ​ແຫລ່ງ​ທີ່​ມາ​ຂອງ​ແອບ​ພິ​ເຄ​ຊັ່ນ​ນັ້ນ​ບໍ່​ໄດ້​ມາ​ຈາກ​ເວັບ​ໄຊຕ໌​ຈິງ​ຊອງທະ​ນາ​ຄານ ແລະ ​ເປັນ​ການ​ຕິດ​ຕັ້ງ​ແອບ​ພິ​ເຄ​ຊັ່ນ​ຈາກ​ແຫລ່ງ​ຊອບ​ແວລ໌​ພາຍນອກ​ທີ່​ບໍ່ແມ່ນ Google Play Store

ການ​ປ້ອງ​ກັນ​ຕົວ​ບໍ່​ໃຫ້​ຕົກ​ເປັນ​ເຫຍື່ອ​ຈາກ​ຈາກ​ການ​ໂຈມ​ຕີ​ດ້ວຍ​ວິທີ​ດັ່ງ​ກ່າວ ຜູ້​ໃຊ້​ງານ​ຄວນ​ພິຈາລະນາ​ແອບ​ພິ​ເຄ​ຊັ່ນ​ທີ່​ຈະ​ຕິດ​ຕັ້ງ​ລົງ​ໃນ​ໂຊ​ສັບ​ມື​ຖື​ຢ່າງ​ຮອບ​ຄອບ ບໍ່​ຄວນ​ຕິດ​ຕັ້ງ​ແອບ​ພິ​ເຄ​ຊັ່ນ​ທີ່​ມີ​ແຫລ່ງ​ທີ່​ມາ​ບໍ່​ໜ້າ​ເຊື່ອ​ຖື ລວມ​ເຖິງ​ກວດ​ສອບ​ການ​ຮ້ອງ​ຂໍ​ສິດ​ທິ (Permission) ຂອງ​ແອບ​ພິ​ເຄ​ຊັ່ນ​ນັ້ນ ໆ ວ່າ​ມີ​ຄວາມ​ເໝາະ​ສົມ ​ຫລື​ ບໍ່

ຢ່າງໃດ​ກໍ​ຕາມ ບັນຫາ​ມັນ​ແວລ໌​ໃນ​ລະບົບ​ປະຕິບັດການ Android ບໍ່ແມ່ນ​ເລື່ອງ​ໃໝ່ ທາງ​ໄທເຊີດ​ ໄດ້​ເຄີຍ​ນຳ​ສະເໜີ​ວິທີ​ການ​ກວດ​ສອບ ​ແລະ​ ປ້ອງ​ກັນ​ບັນຫາ​ມັນ​ແວລ໌ ລວມ​ເຖິງ​ວິທີ​ການ​ໃຊ້​ງານ​ໂຊ​ສັບ​ມື​ຖື​ໃຫ້​ປອດ​ໄພ ຜູ້​ອ່ານ​ສາມາດ​ສຶກ​ສາ​ເພິ່ມເຕິມ​ໄດ້​ຈາກ​ບົດ​ຄວາມ

  • ແນວ​ທາງ​ການ​ໃຊ້​ງານ​ໂທລະສັບ​ມື​ຖື​ໃຫ້​ປອດ​ໄພ​ຈາກ​ໄພ​ຄຸກ​ຄາມ  [6]
  • ຮູ້​ທັນ ​ແລະ​ປ້ ອງ​ກັນ Malware ໃນ​ລະບົບ​ປະຕິບັດການ Android  [7]
  • ຮູ້​ທັນ​ ແລະ​ປ້ ອງ​ກັນ Malware ໃນ​ລະບົບ​ປະຕິບັດການ Android ຕອນ​ທີ່ 2  [8]

ອ້າງ​ອິງ

  1. http://www.acisonline.net/
  2. https://twitter.com/PrinyaACIS/status/307711776873668608
  3. https://www.scbeasy.com/v1.4/site/presignon/mtrl/File/SCB%20Easy%20Net_%20Ex.Phishing%20SMS.pdf
  4. http://docs.xamarin.com/guides/android/advanced_topics/working_with_androidmanifest.xml
  5. http://developer.android.com/tools/help/logcat.html
  6. http://www.thaicert.or.th/papers/general/2011/pa2011ge010.html
  7. http://www.thaicert.or.th/papers/technical/2012/pa2012te003.html
  8. http://www.thaicert.or.th/papers/technical/2012/pa2012te011.html