ข่าวไอที

News

ข่าวไอที ไทยแวร์เป็น ข่าวไอทีล่าสุด คุณภาพที่เราคัดสรรมาให้คุณ ตื่นนอนมาอ่าน ข่าวไอทีวันนี้ จากหลายๆ แหล่งที่เชื่อถือได้

พบมัลแวร์ตัวใหม่บน Android พันธุ์แกร่ง ถ้าติดแล้ว ลบออกจากเครื่องยากสุดๆ

xHealper มัลแวร์ตัวใหม่ที่เพิ่งถูกค้นพบ สามารถส่งสแปมรัวๆ แถมตายยาก Factory Reset ก็ไม่หาย

moonlightkz

แชร์

31 ตุลาคม 2562 5,484

0 (0 โหวต)

ภัยร้ายบนโลกไซเบอร์ยังคงมีเกิดขึ้นใหม่อยู่เป็นประจำ ล่าสุดมีมัลแวร์ตัวหนึ่งที่เหล่าผู้เชี่ยวชาญด้านความปลอดภัยกำลังปวดหัวกับมันอยู่ มันใช้เวลาเพียง 7 เดือน ไต่ขึ้นมาติดใน 10 อันดับแรกของลิสต์มัลแวร์ที่ MalwareBytes ได้เก็บข้อมูล ทาง Symantec ก็ได้เผยว่ามีเหยื่อติดมัลแวร์ตัวนี้ไปแล้วประมาณ 45,000 ราย

รายงานได้ระบุว่ามัลแวร์ดังกล่าวได้เผยแพร่ผ่านการติดตั้งแอปฯ แบบ Sideload โดยมัลแวร์ที่ชื่อว่า "xhelper" ได้แฝงตัวอยู่ในแอปฯ เหล่านั้น

เมื่อมัลแวร์ถูกติดตั้งลงบนสมาร์ทโฟนแล้ว มันจะส่งการแจ้งเตือน และหน้าต่างโฆษณาขึ้นมารัวๆ โดยทั้งทาง Symantec และ MalwareBytes ระบุว่ามัลแวร์ดังกล่าวจะพยายามส่งแจ้งเตือนเพื่อเชิญชวนให้ผู้ใช้ดาวน์โหลดแอปฯ อื่นๆ มาติดตั้ง หรือไม่ก็ชวนเล่นเกมออนไลน์ ซึ่งทางผู้เชี่ยวชาญเชื่อว่าผู้สร้างมัลแวร์จะได้เงินหากผู้ใช้คลิกโฆษณา หรือติดตั้งแอปฯ เหล่านั้นลงบนเครื่อง

ปัญหาที่น่าปวดหัวของมัลแวร์ตัวนี้คือ ไม่ใช่เรื่องง่ายที่จะลบมันออกจากเครื่อง เพราะมันจะแอบทำงานแบบเงียบๆ โดยไม่ให้ผู้ใช้รู้ตัวว่ามันหลบซ่อนอยู่ที่ไหน โดยการใช้วิธีเข้ารหัส (Encryption) ในตอนติดตั้ง เพื่อไม่ให้ผู้ใช้รู้ตัว และรู้ตำแหน่งที่ถูกติดตั้งเอาไว้

Malwarebytes พบว่า xHelper มีอยู่ 2 ชนิด คือ แบบกึ่งล่องหน และแบบล่องหนโดยสมบูรณ์ ทั้งสองรูปแบบนี้จะไม่สร้างไอคอนแอปฯ หรือช็อตคัทบนหน้าจอ ทางเดียวที่จะรู้ตัวว่าโดนแล้ว คือ สังเกตพบหน้าต่างแจ้งเตือนบนหน้าจอ ซึ่งมันจะปรากฏขึ้นเฉพาะในมัลแวร์แบบกึ่งล่องหนเท่านั้น หากเป็นมัลแวร์เวอร์ชันล่องหนสมบูรณ์แล้วล่ะก็ เราจะไม่เห็นอะไรเลย นอกจากสแปมที่เด้งรัวๆ

xHelper ออกแบบมาให้เริ่มทำงานบน Foreground service ด้วยเงื่อนไขหลายรูปแบบ เช่น เมื่อเปิดเครื่อง, เมื่อถอด/เสียบสายชาร์จ ที่น่าปวดหัวสุด คือ เมื่อมันเริ่มทำงานแล้ว แต่ให้เราค้นพบมันแล้วลบมันออก มันก็จะดื้อด้านไม่หายไปไหน ติดตั้งตัวใหม่อีกครั้งเมื่อเกิดสถานการณ์ที่กำหนด

แม้ว่าเราจะทำการหยุดการทำงานของมันใน Service ไปแล้ว xHelper มันก็จะกลับมาเริ่มต้นทำงานใหม่อัตโนมัติทันทีราวกับมีเวทมนตร์ ต่อให้คุณปวดหัวกับมันแล้วเลือกหนทางสุดท้ายอย่างการทำ Factory reset เจ้า xHelper ก็ยังคงเอาตัวรอดได้อยู่ดี

การโจมตีของมันอาจจะดูไม่รุนแรงมากไปกว่าความน่ารำคาญที่เกิดขึ้น แต่ทางผู้เชี่ยวชาญของ Symantec ได้ระบุว่ามันสามารถเชื่อมต่อตัวเองไปยังเซิร์ฟเวอร์เพื่อจารกรรมข้อมูลได้ด้วย

แนวทางในการแก้ปัญหาเดียวที่พบในตอนนี้ คือ ทำการแฟลชเครื่องแล้วติดตั้งเฟิร์มแวร์ใหม่ตั้งแต่ต้น ซึ่งไม่ใช่เรื่องง่ายสำหรับผู้ใช้ทั่วไป ทางป้องกันที่ดีที่สุด คือ หลีกเลี่ยงการติดตั้งแบบ Sideload จะดีที่สุด