ระวังมัลแวร์ Herodotus มาพร้อมกับเทคนิคหลบการตรวจจับอย่างพลิ้ว เข้าฝังตัวบนเครื่อง Android

เฮโรโดตุส อาจจะเป็นชื่อของนักปรัชญาชื่อดังที่คิดทฤษฎีต่าง ๆ ไว้มากมาย แต่เมื่อกลายมาเป็นชื่อของมัลแวร์แล้ว จากสิ่งที่น่ารู้ก็กลายเป็นสิ่งที่น่ากลัวแทน โดยเฉพาะอย่างยิ่งความสามารถในการแฝงตัวของมัลแวร์ตัวนี้

จากรายงานโดยเว็บไซต์ Make Tech Easier ได้กล่าวถึงการตรวจพบมัลแวร์ที่มุ่งเน้นการโจมตีอุปกรณ์ที่ใช้งานระบบปฏิบัติการ Android ที่มีชื่อว่า Herodotus โดยมัลแวร์ตัวดังกล่าวนั้นเป็นมัลแวร์ประเภท Banking Trojan หรือ มัลแวร์สำหรับการเข้าขโมยเงินจากบัญชีธนาคารของเหยื่อ แต่ก็มีการรายงานว่าตัวมัลแวร์นั้นถูกสร้างขึ้นบนพื้นฐานของมัลแวร์ Brokewell ซึ่งเป็นมัลแวร์ประเภทเข้าควบคุมเครื่องจากระยะไกล หรือ RAT (Remote Access Trojan) ซึ่งตัวมัลแวร์ Herodotus นี้มีถูกตรวจพบว่าถูกวางขายในรูปแบบมัลแวร์สำหรับเช่าใช้งาน (MaaS หรือ Malware-as-a-Service) ในตลาดมืด ซึ่งใคร ๆ ก็สามารถซื้อไปใช้งานได้ โดยทางแหล่งข่าวระบุว่า พบว่ามีผู้ใช้งานที่สามารถตรวจสอบได้ถึง 7 รายแล้วในปัจจุบัน

ตัวมัลแวร์นั้นจะถูกแพร่กระจายผ่านทางวิธีการหลอกลวงแบบ Phishing เพื่อให้เหยื่อกดเข้าเว็บไซต์ปลอม และดาวน์โหลดมัลแวร์ลงมาติดตั้ง หรือแฮกเกอร์อาจใช้วิธีการส่งข้อความสั้น (SMS หรือ Short Message Service) ของปลอมให้เหยื่อ หรือเรียกว่าวิธีการหลอกลวงแบบ SMiShing สำหรับในส่วนด้านความสามารถของตัวมัลแวร์เรียกได้ว่ามีความสามารถที่หลากหลาย โดยหลังจากถูกติดตั้งลงบนเครื่องของเหยื่อ มัลแวร์ก็จะทำการเข้าถึงโหมดสำหรับช่วยเหลือผู้พิการ (Accesibility Mode) ในทันทีด้วยการหลอกให้เหยื่อทำการอนุญาตให้ตัวมัลแวร์เข้าถึงได้ หลังจากเข้าถึงโหมดนี้ได้แล้ว ตัวมัลแวร์ก็จะใช้วิธีการโจมตีแบบ ซ้อนหน้าจอ (Overlay Attack) ด้วยหน้าจอที่มีคำว่า “Loading” หรือ “Verifying” เพื่อเบี่ยงเบนความสนใจของเหยื่อ ซึ่งในระหว่างนั้น ตัวมัลแวร์ก็จะทำการต่าง ๆ เพื่อให้เข้าถึงบัญชีธนาคารของเหยื่อได้

โดยเริ่มต้น ตัวมัลแวร์จะทำการตรวจสอบว่าเครื่องมีการติดตั้งแอปพลิเคชันใดไว้บ้าง หลังจากนั้นก็จะทำการติดต่อกับเซิร์ฟเวอร์ควบคุม (C2 หรือ Command and Control) เพื่อส่งข้อมูลที่ตรวจสอบมาได้ไปยังเซิร์ฟเวอร์เพื่อรับคำสั่งเพิ่มเติม โดยคำสั่งนั้นจะเป็นการทำการเปิดแอปพลิเคชันเป้าหมาย, แทรกแซงข้อความ SMS เพื่อรับรหัสการยืนยันตัวตน 2 ชั้น (2FA หรือ 2 Factors Authentication), กรอกข้อความ, และกระทำการอื่น ๆ บนตัวแอปพลิเคชันเป้าหมาย ซึ่งตัวมัลแวร์นั้นมีฟีเจอร์ในการหลบเลี่ยงการถูกตรวจจับที่ละเอียดมาก เช่น การใช้วิธีการกรอกข้อความแบบไม่กรอกรวดเดียว แต่มีการเว้นช่วงประมาณ 0.3 ถึง 3 วินาที เพื่อเลียนแบบพฤติกรรมการใช้งานของมนุษย์

ภาพจาก : https://www.maketecheasier.com/herodotus-android-malware/

นอกจากส่วนข้อมูลเบื้องต้นของมัลแวร์แล้ว แหล่งข่าวยังได้แนะนำวิธีการหลบเลี่ยงการถูกมัลแวร์ดังกล่าวเข้าสู่เครื่อง รวมไปถึงแนะนำวิธีการตรวจสอบว่ามัลแวร์ฝังอยู่บนเครื่องแล้วหรือยังอีกด้วย ซึ่งวิธีการต่าง ๆ นั้นมีดังนี้

การหลีกเลี่ยงมัลแวร์ Herodotus

จากการที่มัลแวร์ดังกล่าวนั้นเป็นมัลแวร์แบบ Banking Trojan ที่อาศัยการฝังตัวเองผ่านทางลิงก์หลอกลวง แหล่งข่าวจึงได้แนะนำว่า ขอให้ผู้อ่านระมัดระวังลิงก์จากที่ต่าง ๆ โดยเฉพาะจากอีเมลที่ไม่รู้จัก หรือจากข้อความ SMS และข้อสำคัญคือ ไม่มีธนาคารหรือสถาบันการเงินใดที่แนะนำให้ลูกค้าทำการดาวน์โหลดแอปพลิเคชันจากนอกแอปสโตร์ หรือ Sideloading มาติดตั้งเองอย่างเด็ดขาด รวมทั้งให้เปิดระบบป้องกันอย่าง Google Play Protect ทุกครั้งเพื่อป้องกันแอปพลิเคชันแปลกปลอม

การตรวจสอบว่าเครื่องติดมัลแวร์หรือไม่ ?

ผู้อ่านบางรายอาจจะสงสัยว่า ในอดีตอาจจะเคยเผลอกดลิงก์แปลก ๆ จากข้อความ SMS หรือ อีเมล และคาดการณ์ว่าอาจจะติดมัลแวร์ ทางแหล่งข่าวจึงได้ให้ข้อมูลเกี่ยวกับวิธีการตรวจสอบว่าเครื่องติดมัลแวร์ Herodotus หรือไม่ ? ซึ่งข้อสังเกตนั้นมีดังนี้

• มีหน้าจอทับซ้อนแสดงข้อความว่า Loading หรือ Verifying
• พบว่ามีแอปพลิเคชันที่ไม่คุ้นเคยกำลังใช้งาน Accesibility Mode อยู่ ซึ่งการตรวจสอบนั้นสามารถตรวจสอบได้จาก Settings → Accessibility → Downloaded Apps
• พบพฤติกรรมในส่วนของข้อความ SMS ที่ผิดปกติ เช่น มีการได้รับข้อความ 2FA มากเกินกว่าที่ผู้ใช้งานขอ
• พบว่าเครื่องมีการใช้งานทรัพยากรมากเกินไป เช่น เครื่องทำงานช้าลง หรือมีการใช้งานแบตเตอรี่มากผิดปกติ โดยสามารถตรวจสอบได้ที่ Settings → Battery ว่ามีแอปพลิเคชันแปลกปลอมใช้งานแบตเตอรี่อยู่หรือไม่

ซึ่งถ้าเครื่องของคุณมีอาการดังกล่าว อย่างแรกที่ต้องทำคือ 

• ปรับโหมดของเครื่องของเป็นโหมดเครื่องบิน (Airplane Mode) เพื่อตัดการติดต่อของมัลแวร์กับเซิร์ฟเวอร์ควบคุม
• การลบแอปพลิเคชันแปลกประหลาดทิ้ง
• ลบสิทธิ์ในการเข้าถึงระบบของแอปดังกล่าวทิ้งผ่านทาง  Settings → Privacy Protection → Special Permissions และต้องตรวจสอบว่า แอปพลิเคชันนั้นไม่มีสิทธิ์ระดับ Device Admin หรือการทำ Display over other apps
• เปลี่ยนรหัสผ่านบัญชีออนไลน์ทั้งหมด และเปลี่ยนระบบ 2FA มาเป็นแบบแอปพลิเคชันอย่าง Google Authenticator แทนระบบ SMS
• เพื่อความปลอดภัยขั้นสูงสุด ผู้ใช้งานอาจทำงานลบข้อมูลทั้งเครื่องในรูปแบบค่าเริ่มต้นจากโรงงาน หรือ Factory Reset