เผยภัยร้าย PhantomLance แคมเปญโจมตี Android Device หลายประเทศในอาเซียน

0
167
PhantomLance

แคสเปอร์สกี้ (Kaspersky) เผยภัยร้าย PhantomLance แคมเปญโจมตี “แอนดรอย์ ดีไวซ์” (Android Device) หลายประเทศในอาเซียน เพื่อเก็บข้อมูลของเหยื่อ…

Kaspersky เผยภัยร้าย PhantomLance มุ่งโจมตีเก็บข้อมูลของเหยื่อใน Android Device

เมื่อเร็ว ๆ นี้ นักวิจัยของแคสเปอร์สกี้ ตรวจพบ แฟนท่อมแลนซ์ (PhantomLance) แคมเปญร้ายมีความซับซ้อนที่จ้องโจมตีผู้ใช้งานดีไวซ์ระบบแอนดรอยด์ซึ่งเชื่อมโยงกับผู้ก่อการร้ายไซเบอร์กลุ่มโอเชียนโลตัส (OceanLotus) แคมเปญนี้เริ่มต้นปฏิบัติการตั้งแต่ปี 2015 เป็นอย่างน้อย

และปัจจุบันยังดำเนินการอยู่ ใช้สปายแวร์ซับซ้อนหลากหลายเวอร์ชั่นที่ทำหน้าที่เก็บข้อมูลของเหยื่อ และมีกลวิธีแพร่กระจายอย่างชาญฉลาดหลายวิธี เช่น ผ่านแอปพลิเคชั่นจำนวนมากใน Google Play โดยในเดือนกรกฏาคม ปี 2019 ผู้เชี่ยวชาญด้านความปลอดภัยแห่งหนึ่งได้ออกรายงานเรื่องสปายแวร์ตัวใหม่

PhantomLance

ที่พบใน Google Play แคสเปอร์สกี้สนใจรายงานนี้อย่างมากด้วยสปายแวร์มีฟีเจอร์ที่คาดไม่ถึง คือมีระดับความซับซ้อนและพฤติกรรมที่แตกต่างจากโทรจันทั่วไปในแอปสโตร์ นักวิจัยของแคสเปอร์สกี้ยังได้ค้นพบมัลแวร์อีกตัวหนึ่งที่คล้ายคลึงกันใน Google Play อีกด้วย

โดยปกติแล้วผู้ออกแบบมัลแวร์จะอัพโหลดแอปร้ายไว้ในแอปสโตร์ แล้วลงทุนโปรโมทแอปพลิเคชั่นเพื่อเพิ่มยอดดาวน์โหลด ซึ่งก็คือการเพิ่มยอดเหยื่อนั่นเอง แต่ในกรณีนี้กลับต่างออกไป ผู้ก่อภัยคุกคามกลับไม่สนใจที่จะแพร่กระจายการติดเชื้อนี้ในวงกว้าง

ทำให้นักวิจัยคาดว่าจะเป็นการโจมตีแบบเจาะจงเป้าหมาย การวิจัยเพิ่มเติมทำให้พบมัลแวร์นี้อีกหลายเวอร์ชั่นที่มีโค้ดสอดคล้องเชื่อมโยงกัน ในลักษณะฟังก์ชั่นการทำงานก็คล้ายคลึงกัน หน้าที่หลักของสปายแวร์คือการเก็บรวบรวมข้อมูล หน้าที่พื้นฐานอื่น ๆ

ได้แก่ การระบุตำแหน่ง การเข้าถึงข้อมูลการโทร ข้อมูลติดต่อ ข้อความ SMS และแอปพลิเคชั่นนี้ยังได้เก็บข้อมูลชื่อแอปอื่น ๆ ที่ติดตั้งลงในดีไวซ์ ข้อมูลสำคัญของตัวเครื่อง เช่น โมเดล และเวอร์ชั่น OS นอกจากนี้ผู้ก่อภัยคุกคามยังสามารถดาวน์โหลด ทำเพย์โหลด และดัดแปลงเพย์โหลดให้เหมาะสมกับสภาพแวดล้อมของดีไวซ์

เช่น เวอร์ชั่นแอนดรอยด์ และแอปที่ติดตั้งในดีไวซ์แล้ว วิธีนี้ผู้ก่อเหตุจึงสามารถหลีกเลี่ยงการโอเวอร์โหลดแอปด้วยฟีเจอร์ที่ไม่จำเป็น แต่ยังสามารถเก็บข้อมูลได้ด้วย

นอกจากนี้ในการวิจัยเพิ่มเติมระบุว่า แฟนท่อมแลนซ์ แพร่กระจายในแพลตฟอร์ม และตลาดสินค้าที่หลากหลาย เช่น Google Play และ APKpure การทำให้แอปดูเหมือนถูกกฎหมาย ผู้ก่อภัยคุกคามจะปลอมโปรไฟล์นักพัฒนาโดยการสร้างแอ็คเคาท์ Github

นอกจากนี้ตลาดสินค้าจะมีขั้นตอนการกรองแอป ผู้ก่อภัยคุกคามก็จะอัพโหลดแอปเวอร์ชั่นแรกที่ยังไม่มีเพย์โหลดร้าย แต่เมื่อทำการอัพเดทในภายหลัง ก็จะมีทั้งเพย์โหลดมุ่งร้าย และโค้ดที่ใช้สั่งการเพย์โหลด

PhantomLance

ซึ่ง จากข้อมูลของ Kaspersky Security Network ตั้งแต่ปี 2016 มีการสังเกตุความพยายามโจมตีมากถึง 300 ครั้งในดีไวซ์ระบบแอนดรอยด์ (android) ในประเทศอินเดีย, เวียดนาม, บังคลาเทศ และอินโดนีเซีย

โดยเวียดนามมีจำนวนการพยายามโจมตีสูงสุดเป็นอันดับหนึ่ง และพบว่าแอปร้ายบางตัวในแคมเปญ แฟนท่อมแลนซ์ นี้ใช้ภาษาเวียดนามโดยเฉพาะ ซึ่งจากการใช้เครื่องมือเพื่อหาความคล้ายคลึงของโค้ดอันตรายต่างๆ ทำให้นักวิจัยสามารถระบุได้ว่าเพย์โหลดของแฟนท่อมแลนซ์นั้น

มีความคล้ายคลึงกับแคมเปญโจมดีแอนดรอยด์ของกลุ่มโอเชียนโลตัส ซึ่งเป็นผู้ก่อภัยคุกคามตั้งแต่ปี 2013 เป็นอย่างน้อย และมีเป้าหมายโจมตีเน้นภูมิภาคเอเชียตะวันออกเฉียงใต้

PhantomLance

นอกจากนี้ ยังพบความคาบเกี่ยวสำคัญในกิจกรรมร้ายในระบบ Windows และ Mac OS โดยโอเชียนโลตัสอีกด้วย นักวิจัยของแคสเปอร์สกี้จึงเชื่อว่า แฟนท่อมแลนซ์ เกี่ยวโยงกับโอเชียนโลตัส ซึ่ง แคสเปอร์สกี้ ได้รายงานการค้นพบทั้งหมดนี้แก่แอปสโตร์ต่าง ๆ แล้ว โดย Google Play ยืนยันแล้วว่าได้ลบแอปทั้งหมดแล้ว

PhantomLance

อเล็กซี่ เฟิร์ช นักวิจัยด้านความปลอดภัย ทีมวิเคราะห์และวิจัยระดับโลกของ แคสเปอร์สกี้ กล่าวว่า แฟนท่อมแลนซ์เป็นตัวอย่างที่โดดเด่นอย่างมากที่แสดงให้เห็นความก้าวหน้าของผู้ก่อภัยคุกคามที่เคลื่อนไหวเงียบเชียบและหาตัวจับยาก แคมเปญนี้ปฏิบัติการนานกว่า 5 ปี

ผู้ก่อภัยคุกคามสามารถบายพาสขั้นตอนการกรองของแอปสโตร์ได้หลายครั้ง โดยใช้เทคนิคขั้นสูงเพื่อบรรลุเป้าหมาย เราได้เห็นว่าการใช้โมบายแพลตฟอร์มเป็นจุดแพร่กระจายหลักนั้นเป็นวิธีที่นิยมใช้กันมากขึ้น พัฒนาการทางร้ายของภัยคุกคามนี้

ทำให้คลังข้อมูลอัจฉริยะ (Threat Intelligence) รวมถึงบริการสนับสนุนต่าง ๆ ยิ่งมีความสำคัญมากขึ้น เพื่อช่วยติดตามผู้ก่อภัยคุกคามและหาแคมเปญที่เกี่ยวโยงกัน

วิธีการหลีกเลี่ยงการตกเป็นเหยื่อการโจมตีแบบเจาะจงเป้าหมายสำหรับบุคคลทั่วไป และองค์กรธุรกิจ

บุคคลทั่วไป :

ควรใช้โซลูชั่นเพื่อความปลอดภัยที่น่าเชื่อถือ เช่น Security Cloud เพื่อป้องกันภัยคุกคามวงกว้าง และ Secure Connection เพื่อป้องกันการติดตามสอดส่องกิจกรรมออนไลน์ ใช้ซ่อนไอพีแอดเดรส และตำแหน่งที่ตั้ง และช่วยให้ส่งข้อมูลผ่านช่องทาง VPN ที่ปลอดภัย

องค์กรธุรกิจ :

  • โซลูชั่นเอ็นพอยต์ที่ใช้อยู่จะต้องสามารถปกป้องความปลอดภัยให้โมบายดีไวซ์ได้ สามารถควบคุมจัดการแอป ควบคุมการติดตั้งเฉพาะแอปที่ถูกกฏหมายในดีไวซ์ขององค์กรเท่านั้น รวมถึงการจัดการจากระยะไกลเพื่อบล็อกดีไวซ์และลบข้อมูลบริษัทออกจากดีไวซ์ได้ ยกตัวอย่างโซลูชั่น เช่นSecurity for Mobile
  • ศูนย์ปฏิบัติการรักษาความปลอดภัย หรือ Security Operations Center (SOC) ควรได้เข้าถึงคลังข้อมูลอัจฉริยะ (Threat Intelligence) และศึกษาข้อมูลเกี่ยวกับเครื่องมือ เทคนิค และกลยุทธ์ที่ออกใหม่ของผู้ก่อภัยคุกคามและอาชญากรไซเบอร์อย่างสม่ำเสมอ
  • การตรวจจับ การสืบสวน และการฟื้นฟูจากการโดนโจมตีอย่างทันท่วงทีในระดับเอ็นพอยต์ ควรใช้โซลูชั่นเพื่อรับมือกับภัยคุกคามโดยเฉพาะ เช่น Endpoint Detection and Response
  • การเสริมการป้องกันเอ็นพอยต์ที่สำคัญ แนะนำให้ใช้โซลูชั่นระดับองค์กรที่สามารถตรวจจับและสกัดกั้นภัยคุกคามขั้นสูงได้ที่ระดับเน็ตเวิร์กตั้งแต่เริ่มต้น เช่น Anti Targeted Attack Platform

*อ่านรายงาน “แฟนท่อมแลนซ์” ฉบับเต็มได้ที่ https://securelist.com/apt-phantomlance/96772/

ส่วนขยาย

* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ 
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว) 
*** ขอขอบคุณภาพประกอบบางส่วนจาก www.pexels.com

สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่  www.facebook.com/itday.in.th

Itdayleadger

This site uses Akismet to reduce spam. Learn how your comment data is processed.