จากที่มีข่าวตอนอภิปรายไม่ไว้วางใจในช่วงสัปดาห์นี้ว่ามีการใช้มัลแวร์อย่าง Pegasus บน Android/iOS เพื่อติดตามนักเคลื่อนไหวทางการเมือง นักวิชาการ NGO ทีนี้จะตรวจสอบอย่างไรดีล่ะ?
ในบทความนี้จะกล่าวถึง Android เพราะผู้เขียนใช้อยู่
วิธีตรวจเช็คเบื้องต้นว่ามี Malware ใน Android หรือไม่?
การตรวจเช็คว่ามีมัลแวร์หรือไม่ จากที่ค้นหาบนอินเตอร์เน็ต และอ่านข่าวพบว่าทางหน่วยงาน Amnesty International ได้เผยแพร่เครื่องมือหนึ่งที่มีชื่อว่า Mobile Verification Toolkit (MVT) ที่สามารถตรวจสอบว่ามีมัลแวร์หรือไม่
เครื่องมือนี้ ผู้ใช้สามารถดาวน์โหลดได้ที่ลิ้งค์บน GitHub และใช้งานบน Linux, Mac ได้ ส่วน Windows ตัวโปรแกรมยังไม่ได้รองรับเป็นทางการ แต่คิดว่าน่าจะใช้ได้
ต่อไป เราจะมาอธิบายการใช้งานเบื้องต้นสำหรับการเช็คบน Android บนระบบปฏิบัติการ Linux อย่าง Ubuntu 22.04 LTS ครับ โดยเครื่องที่ใช้คือ ASUS ROG Flow X13 และ Samsung Galaxy Z Fold 3 5G
หนึ่ง ติดตั้งไลบรารีที่จำเป็นเสียก่อน โดยติดตั้งผ่านการพิมพ์คำสั่งนี้ลงบน Terminal
sudo apt install python3 python3-pip libusb-1.0-0 sqlite3
จากนั้นรอระบบติดตั้งเครื่องมือเหล่านี้ เมื่อติดตั้งเสร็จแล้ว ให้ติดตั้งเครื่องมือที่ช่วยอำนวยความสะดวกสำหรับเครื่องมือ MVT โดยติดตั้งเครื่องมือที่มีชื่อว่า Android Platform Tools บนลิ้งค์ของเว็บ Google ครับ
สอง ตั้งค่าตัวแปร PATH สำหรับการเรียกใช้งาน adb ผู้ใช้สามารถตั้งค่าได้โดยการพิมพ์ข้อความตามด้านล่างนี้ลงในไฟล์ .bashrc สำหรับผู้ใช้ที่ใช้ Bash Shell
export PATH="<ที่อยู่ platform-tools >:$PATH"
จากนั้น ปิดแล้วเปิด Terminal ใหม่ แล้วเราจะพบว่าเราสามารถใช้งานคำสั่ง adb ได้แล้ว
สาม ติดตั้ง MVT
- ผ่าน GitHub ตามข้างบนโดยใช้ git clone -> pip3 install -e .
- อีกวิธีก็ติดตั้งผ่าน pip3 install mvt
สี่ เปิด USB Debugging โดยกดที่ Build Number 10 ครั้ง จะพบ Developer Options -> ติ๊กที่ USB debugging จากนั้นนำมือถือ Android เสียบเข้ากับคอมพิวเตอร์
ห้า พิมพ์คำสั่งเพื่อสั่งให้ MVT ตรวจสอบว่ามีมัลแวร์ หรือมีปัญหาอะไรกับมือถือ Android หรือไม่ โดยพิมพ์คำสั่งตามด้านล่างนี้
mvt-android check-adb -output <ตำแหน่งเซฟ output>
กด Enter แล้วรอตรวจเช็คว่ามีปัญหาด้านความปลอดภัย หรือมีมัลแวร์อะไรหรือไม่ และ Backup (ตัวอย่าง output ก็ตามด้านล่าง)
MVT - Mobile Verification Toolkit
https://mvt.re
Version: 2.1.1
You have not yet downloaded any indicators, check the `download-iocs` command!
22:18:56 INFO [mvt.android.cmd_check_adb] Loaded a total of 0 unique indicators
INFO [mvt.android.cli] Checking Android device over debug bridge
INFO [mvt.android.modules.adb.chrome_history] Running module ChromeHistory...
ERROR [mvt.android.modules.adb.chrome_history] This module is optionally available in case the device is already rooted. Do NOT root your own device!
INFO [mvt.android.modules.adb.sms] Running module SMS...
22:18:57 WARNING [mvt.android.modules.adb.sms] No SMS database found. Trying extraction of SMS data using Android backup feature.
WARNING [mvt.android.modules.adb.sms] Please check phone and accept Android backup prompt. You may need to set a backup password.
Enter backup password:
22:19:06 INFO [mvt.android.modules.adb.sms] Extracted a total of 144 SMS messages containing links
INFO [mvt.android.modules.adb.whatsapp] Running module Whatsapp...
ERROR [mvt.android.modules.adb.whatsapp] This module is optionally available in case the device is already rooted. Do NOT root your own device!
INFO [mvt.android.modules.adb.processes] Running module Processes...
หก ตรวจสอบเพิ่มเติมว่ามีเพกาซัส (Pegasus) หรือไม่ โดยดาวน์โหลดไฟล์ตรวจสอบที่ลิ้งค์ https://docs.mvt.re/en/latest/iocs/ เมื่อดาวน์โหลดสำเร็จแล้ว ให้พิมพ์คำสั่งตามด้านล่างนี้เพื่อตรวจสอบ
mvt-android check-backup --iocs <ตำแหน่งไฟล์ .stix2> <ตำแหน่งที่เราเซฟ output>
กด Enter แล้วระบบจะแจ้ผลตามด้านล่างนี้ ถ้าไม่มีปัญหาอะไรกับมือถือที่ใช้อยู่ครับ
MVT - Mobile Verification Toolkit
https://mvt.re
Version: 2.1.1
You have not yet downloaded any indicators, check the `download-iocs` command!
22:30:57 INFO [mvt.android.cmd_check_backup] Parsing STIX2 indicators file at path ./pegasus.stix2
INFO [mvt.android.cmd_check_backup] Extracted 1547 indicators for collection with name "Pegasus"
INFO [mvt.android.cmd_check_backup] Loaded a total of 1547 unique indicators
INFO [mvt.android.cli] Checking Android backup at path: ./Android
INFO [mvt.android.modules.backup.sms] Running module SMS...
INFO [mvt.android.modules.backup.sms] Extracted a total of 0 SMS & MMS messages containing links
INFO [mvt.android.modules.backup.sms] The SMS module produced no detections!
นอกจาก SMS แล้ว ผู้ใช้สามารถตรวจแอพในเครื่องว่ามีปัญหาอะไรหรือไม่ ได้โดยการพิมพ์คำสั่งตามด้านล่างนี้ โดยรายละเอียดการใช้งานเพิ่มเติมศึกษาได้จากที่ลิ้งค์ของ MVT เอง
mvt-android download-apks -a -v --output <ตำแหน่งที่ต้องการเก็บไฟล์ apk>
สำหรับรายละเอียดเพิ่มเติมของการใช้งาน MVT บน Android ผู้ใช้สามารถศึกษาได้ในเว็บของ MVT ครับ
ข้อสังเกต
การตรวจสอบกับมือถือ Android จะตรวจสอบได้ไม่ละเอียดเท่ากับบน iOS เนื่องมาจากข้อจำกัดของเครื่องมือครับ ส่วนตัวถ้าอยากใช้มือถือที่ตรวจสอบได้ละเอียด และปลอดภัยกว่า รวมถึงเวลาเกิดปัญหานี้ทางผู้ผลิตจะแจ้งเตือนมาหาเรา เราแนะนำ iPhone
ผู้ใช้สามารถตรวจสอบการใช้งาน MVT กับ iOS ได้จากที่ลิ้งค์ของเว็บ MVT ครับ