News

เตือนภัยมัลแวร์ Android มาใหม่ ปลอมตัวเป็นแอป Baidu บุกยึด Router และแอบแก้ DNS ได้

นี่อาจจะเป็นหนึ่งในข่าวสุดพีค รับสิ้นปีเลยก็ว่าได้ครับ เพราะนักวิจัยความปลอดภัยไปพบเจอมัลแวร์ตัวใหม่บน Android ที่ตอนนี้เริ่มแพร่หลายในประเทศจีน มัลแวร์ตัวนี้มีชื่อว่า Switcher โดยมันจะปลอมตัวมาเป็นแอปบน Android โดยมีการตั้งชื่อกลายเป็นแอป Baidu แอป Search ยอดนิยมในจีน (เพราะจีนไม่มี Google) แล้วบุกรุกเครือข่ายอินเตอร์เน็ตที่เชื่อมต่อไปยึกเครื่องเราเตอร์ของเหยื่อได้

นี่อาจจะเป็นหนึ่งในข่าวสุดพีค รับสิ้นปีเลยก็ว่าได้ครับ เพราะนักวิจัยความปลอดภัยไปพบเจอมัลแวร์ตัวใหม่บน Android ที่ตอนนี้เริ่มแพร่หลายในประเทศจีน มัลแวร์ตัวนี้มีชื่อว่า Switcher โดยมันจะปลอมตัวมาเป็นแอปบน Android โดยมีการตั้งชื่อกลายเป็นแอป Baidu แอป Search ยอดนิยมในจีน (เพราะจีนไม่มี Google) แล้วบุกรุกเครือข่ายอินเตอร์เน็ตที่เชื่อมต่อไปยึกเครื่องเราเตอร์ของเหยื่อได้

มัลแวร์ Switcher นั้นไม่ได้ปลอมเป็นแค่แอป Baidu (com.baidu.com) แต่เพียงชื่อเดียวครับ ยังพบว่ามีการปลอมเป็นแอปแชร์รหัส Wi-Fi (com.snda.wifilocating) อีกด้วย สำหรับมัลแวร์ Switcher ตัวนี้คาดว่าอาศัยช่องโหว่ของการติดตั้งแอปนอก Play Store ทำให้ติดตั้งเข้าไปในเครื่องของเหยื่อได้

ในส่วนของการทำงานของ Switcher นั้นก็คือ เมื่อเข้าสู่ Android เครื่องเป้าหมายได้แล้ว มันจะพยายามเข้าถึงสิทธิ์การควบคุม Router ของอินเตอร์ทีเครื่องเหยื่อเชื่อมต่ออยู่ โดยจะอาศัยสคริปท์ javascript ในการสุ่ม username และ password จากชุดไฟล์พจนานุกรมที่แฮกเกอร์ทำไว้ หรือเรียกอีกอย่างก็เกือบๆ จะเป็นการโจมตีสุ่มรหัสแบบ Brute Force ได้ครับ

หลังจากที่มัลแวร์สุ่มรหัสได้จนถูก และยึดครองการควบคุมเปลี่ยนแปลงการตั้งค่าของ Router ได้ ก็จะไปตั้งค่า DNS ปลอมให้กับ Router เพื่อที่เวลาเหยื่อเข้าสู่เว็บไซต์บางเว็บไซต์ แทนที่จะได้รับข้อมูลกลับมาจากเว็บไซต์จริง ก็จะถูกลิงก์ไปยังหน้าเว็บไซต์หลอกที่แฮกเกอร์ทำขึ้นมา และสามารถดักข้อมูลสารพัด (phishing) ที่เราใส่เข้าไปได้นั่นเอง

นักวิจัยรายงานว่ามัลแวร์ตัวนี้เผยแพร่ติดต่อไปบน Router แล้วร่วม 1,300 เครื่องในประเทศจีน และยังบอกอีกด้วยว่าหากถูกโจมตีสำเร็จแล้ว การรีเซ็ท Router ก็ไม่แก้ปัญหานี้ด้วย ในความน่ากลัวของมันยังพอมีข่าวดีอยู่นิดนึงครับ นั่นก็คือทางนักวิจัยบอกว่าสคริปท์ที่ใช้รันเข้าสู่ระบบ Router นั้นใช้งานได้กับหน้าเว็บของ Router ของ TP-Link เท่านั้น

อย่างไรก็ตาม เพื่อความปลอดภัยสำหรับผู้ใช้ Android สิ่งที่ควรระมัดระวังก็คือการติดตั้งแอปจากนอก Play Store ครับ เราไม่แนะนำให้ทำเช่นนั้น เพราะเราไม่ทราบแน่ชัดว่าแอปที่นำมาติดตั้งนั้นปลอดภัยจริงหรือเปล่า เอาให้ชัวร์สุดก็คือติดตั้งผ่าน Play Store ที่กูเกิลมีการตรวจสอบอยู่อย่างสม่ำเสมอดีกว่าครับ 🙂

 

ที่มา: The Hacker News

3 Comments

  1. theproject

    theproject Post on December 30, 2016 at 10:06 am

    #969807

    Baidu ว่าร้าย อันนี้ร้ายกาจกว่า 55

  2. ps000000

    ps000000 Post on December 30, 2016 at 3:10 pm

    #969810

    ลำพัง ตัว ไป่ตู้ เอง ก็ ร้ายมานานแล้ว ช่างคอม ชอบมากครับ ได้มีงานทำ

  3. lunelune Post on January 9, 2017 at 5:49 am

    #970342

    อ้าว แต่เด่วนะครับ จีนไม่มีplay store แล้วทำไงงะ ให้มันตรวจสอบจาก play store หรือติดตั้งจาก play store

Leave a Reply

To Top
ปิดโหมดสีเทา