Trend Micro ออกรายงานวิเคราะห์การทำงานของ RCSAndroid ซอฟต์แวร์ดักฟังแบบเจาะลึกจาก Hacking Team ที่หลุดออกมาพร้อมเอกสารจำนวนมาก

เอกสารแสดงให้เห็นว่ากระบวนการเจาะระบบของ Hacking Team สำหรับแอนดรอยด์แบ่งออกเป็นสี่ส่วน ได้แก่ การเจาะระบบ, ซอฟต์แวร์ระดับล่างที่เป็นโค้ดเนทีฟ, ซอฟต์แวร์ระดับบนเป็นจาวา, และเซิร์ฟเวอร์ควบคุมสั่งการ

กระบวนการเจาะระบบเข้าไปยังเครื่องของเหยื่อนั้น Hacking Team จะสร้างลิงก์ส่งไปให้ลูกค้า ลิงก์เหล่านี้เมื่อลูกค้าส่งไปยังเครื่องของเหยื่อแล้วเครื่องจะถูกเจาะเข้าเพื่อเข้าไปดาวน์โหลดแอพพลิเคชั่นหลักเข้ามาติดตั้งได้ ลิงก์นี้สามารถถูกส่งผ่านทางอีเมลหรือเว็บก็ได้ อีกทางหนึ่งคือการเจาะด้วยการล่อให้เหยื่อติดตั้งแอพพลิเคชั่นใน Google Play ที่สามารถเจาะเครื่องได้ ไม่ว่าจะใช้ช่องทางใด เมื่อเจาะสำเร็จแล้วก็จะดาวน์โหลดมัลแวร์มาติดตั้งเหมือนกัน

ตัวมัลแวร์นั้นลูกค้าจะเป็นคนสร้างขึ้นมาจาก RCS Console ที่ซื้อมาจาก Hacking Team เองเป็นไฟล์ APK โดยต้องเลือกรุ่นโทรศัพท์ที่ต้องการเจาะล่วงหน้า มัลแวร์แบ่งออกเป็นสองส่วน คือ Evidence Collector ทำหน้าที่เก็บข้อมูลทุกอย่างที่เก็บได้จากเครื่องของเหยื่อ เช่นการอัดเสียงสนทนา อีกส่วนคือ Event Action Trigger กำหนดเงื่อนไขเพื่อให้รันคำสั่ง เช่น ส่งข้อมูลกลับเซิร์ฟเวอร์, รันคำสั่ง, ส่ง SMS, ทำลายข้อมูลที่เก็บมา, ปิดกรทำงานเครือข่าย, และถอดการติดตั้งตัวเอง

ข้อมูลล่าสุดของ RCSAndroid คือรองรับถึง Android 4.4.4 จากข้อมูลในอีเมลทาง Hacking Team กำลังพัฒนาเวอร์ชั่นใหม่เพื่อรองรับ Android 5.0 ขึ้นไปอยู่

ที่มา - Trend Micro