Malware found on HTC Magic Android phone from Vodafone ~ Windows Administrator Blog

Wednesday, March 10, 2010

Malware found on HTC Magic Android phone from Vodafone

By dtp 12:13:00 PM No comments

นักวิจัยของ Panda Security อ้างว่าพบมัลแวร์บนเครื่องโทรศัพท์ HTC Magic รุ่นใหม่จาก Vodafone
บทความโดย: Thai Windows Administrator Blog

นักวิจัยของ Panda Security ซึ่งเป็นบริษัทพัฒนาโปรแกรมแอนตี้ไวรัสในประเทศสเปน อ้างว่าพบมัลแวร์ (Malware) บนเครื่องโทรศัพท์ Vodafone HTC Magic ซึ่งเป็นเครื่องโทรศัพท์ที่ใช้ระบบปฏิบัติการ Android รุ่นใหม่ที่ผลิตโดย Vodafone

Picture credit: Cnet

โดย Pedro Bustamante ซึ่งเป็นนักวิจัยของ Panda Security ได้โพสต์บทความในบล็อก Panda Research Blog ในวันจันทร์ที่ผ่านมาว่า เพื่อนร่วมงานของเขาคนหนึ่งได้รับเครื่องโทรศัพท์ Vodafone HTC Magic เครื่องใหม่ซึ่งใช้ระบบปฏิบัติการ Android ของ Google จากนั้นได้ทำการต่อเข้ากับเครื่องคอมพิวเตอร์ผ่านทางพอร์ต USB ผลปรากฏว่าโปรแกรม Panda Cloud Antivirus ซึ่งเป็นโปรแกรมป้องกันไวรัสแบบคลาวด์ที่ติดตั้งอยู่บนเครื่องได้แจ้งเตือนว่าพบโปรแกรมอันตราย 2 ตัว คือ Autorun.inf และ Autorun.exe บนเครื่องโทรศัพท์ดังกล่าว จึงทำการตรวจสอบ

หลังจากทำการตรวจสอบพบว่าเครื่องโทรศัพท์ดังกล่าวนั้นติดมัลแวร์และจะทำการแพร่กระจายมัลแวร์ลงเครื่องคอมพิวเตอร์ทุกๆ เครื่องที่ทำการเชื่อมต่อกับเครื่องโทรศัพท์ และเมื่อทำการเปิดดูข้อมูลที่เก็บอยู่ในเครื่องโทรศัพท์จะพบว่ามีลักษณะดังรูปด้านล่าง

Picture credit: Panda Security

โดยข้อมูลที่เก็บอยู่ในไฟล์ Autorun.inf นั้น จะมีลักษณะดังรูปด้านล่าง

Picture credit: Panda Security

สำหรับมัลแวร์นั้นจากการตรวจสอบของ Panda Security พบว่าเป็นบ็อท (Bot) ไคลเอ็นต์ชื่อ "Mariposa" ซึ่งทำการรันโดยผู้ที่ใช้ชื่อว่า "tnls" ซึ่งเป็นชื่อที่พบในกลไกการควบคุมบ็อทเน็ต

00129953 |. 81F2 736C6E74 |XOR EDX,746E6C73 ; "tnls"

โดยบ็อท Mariposa นั้นจะทำการสื่อสารกับ Command & Control servers ผ่านทางโปรโตคอล UDP เพื่อรับคำสั่งดังนี้

mx5.nadnadzz2.info

mx5.channeltrb123trb.com

mx5.ka3ek2.com

อนึ่ง บ็อทตัวนี้จะแตกต่างจากบ็อทที่เคยถูกใช้งานโดยกลุ่ม "DDP Team" ซึ่งเป็นที่แฮ็คเกอร์ชาวสเปนเมื่อก่อนหน้านี้

ทั้งนี้ หลังจากเครื่องคอมพิวเตอร์ติดมัลแวร์แล้วมัลแวร์ชื่อ "phoning home" จะถูกทำการรันเพื่อทำหน้าที่ในการรับคำสั่งเพิ่มเติม ซึ่งมีความเป็นไปได้ที่จะเป็นคำสั่งให้ขโมยข้อมูลส่วนตัวต่างๆ ส่งกลับไปยังผู้เขียนมัลแวร์ เช่น ข้อมูล User name & Password เป็นต้น

ในตอนท้ายของบทความ นักวิจัยของ Panda Security ยังอ้างว่าบ็อท Mariposa ไม่ใช่มัลแวร์ตัวแรกที่พบบนบนครื่องโทรศัพท์ Vodafone HTC Magic โดยก่อนหน้านี้ยังมีการพบมัลแวร์หลายตัว เช่น มัลแวร์ Confiker และ Lineage ซึ่งเป็นมัลแวร์ที่ขโมยรหัสผ่านผู้ใช้ เป็นต้น

แหล่งข้อมูลอ้างอิง
• Panda Security

© 2010 TWA Blog. All Rights Reserved.

Microsoft Security Advisory 977377พบช่องโหว่ความปลอดภัยในโปรโตคอล TLS และ SSL บทความโดย: Thai Windows Administrator Blog ไมโครซอฟท์ออก Microsoft Security Advisory (977377): Vulnerability in TLS/SSL Could Allow Spoofing เพื่อประกาศว่าไมโครซอฟท์กำลังตรวจสอบรา… Read More
Windows BSOD Caused by Alureon Rootkit, Not by Patch MS10-015ไมโครซอฟท์ยืนยันปัญหา Windows BSoD หลังจากติดตั้งแพต์ซ์ MS10-015 เกิดจากรูทคิตส์ Alureon บทความโดย: Thai Windows Administrator Blog สืบเนื่องจากมีการรายงานไปก่อนหน้านี้ว่ามีผู้ใช้วินโดวส์บางส่วนเกิดปัญหาวินโดวส์ขึ้นจอฟ้า หร… Read More
New Zero-day Vulnerability Discovered in Firefox 3.6บริษัทวิจัยด้านความปลอดภัยในรัสเซียพบช่องโหว่ความปลอดภัยร้ายแรงใน Firefox 3.6 พร้อมขายโค้ดโปรแกรมสำหรับเจาะระบบ บทความโดย: Thai Windows Administrator Blog มีรายงานในเว็บไซต์ Softpedia และอีกหลายเว็บไซต์ ว่า InteVyDis ซึ่งบร… Read More
Phishing for Windows Live IDs and Passwordsระวังฟิชชิ่งอีเมลหลอกขอ IDs และ Passwords ของ Windows Live บทความโดย: Thai Windows Administrator Blog สำหรับใครที่ใช้บริการ Windows Live เช่น hotmail.com, msn.com หรือ live.com ให้ระวังฟิชชิ่ง (Phishing) อีเมลที่หลอกขอข้อมู… Read More
Security Advisory for Adobe Reader 9.3 and Acrobat 9.3Adobe เตรียมออกแพตซ์เพื่อแก้ไขช่องโหว่ความปลอดภัยใน Adobe Reader 9.3 และ Acrobat 9.3 บทความโดย: Thai Windows Administrator Blog สืบเนื่องจากมีรายงานการพบช่องโหว่ความปลอดภัยร้ายแรงระดับวิกฤติ (Critical Vulnerability) ในโปรแกร… Read More