គេរកឃើញថា ក្រុមហេគដែលធ្វើការវាយប្រហារនៅមជ្ឈឹមបូព៌ាចាប់តាំងពីឆ្នាំ២០១៧ បានក្លែងបន្លំនូវកម្មវិធីផ្ញើសារស្របច្បាប់ដូចជា Telegram និង Threema ដើម្បីចម្លងមេរោគលើឧបករណ៍ Android ដែលមានមេរោគថ្មី ដោយពីមុនមកមិនមានមេរោគនោះទេ។ ក្រុមហ៊ុនសន្តិសុខអ៊ីនធឺរណិត ESET បានលើកឡើងនៅក្នុងបទវិភាគនៅថ្ងៃពុធ។
“បើប្រៀបធៀបទៅនឹងកំណែដែលបានចងក្រងក្នុងឆ្នាំ២០១៧ប្រព័ន្ធប្រតិបត្តិការ Android / SpyC23.A បានពង្រីកមុខងារចារកម្មរួមមានការអានសារជូនដំណឹងពីកម្មវិធីផ្ញើសារ ការថតការហៅ និងការថតអេក្រង់ និងមុខងារលាក់កំបាំងដូចជាការបដិសេធចំពោះការជូនដំណឹងពីកម្មវិធីសុវត្ថិភាព Android ដែលភ្ជាប់មកជាមួយ។
ព័ត៌មានលម្អិតដំបូងចេញផ្សាយ Qihoo 360 ក្នុងឆ្នាំ២០១៧ ក្រោម Two-tailed Scorpion Scorpion (ហៅកាត់ APT-C-23 ឬ Desert Scorpion) គេបានចាត់ទុកមេរោគទូរស័ព្ទចល័តថាជា“កម្មវិធីឃ្លាំមើល”ដោយសារសមត្ថភាពរបស់វាអាចធ្វើការស៊ើបការណ៍លើឧបករណ៍របស់បុគ្គលគោលដៅ កំណត់ហេតុហៅទូរស័ព្ទចេញ បញ្ចីទំនាក់ទំនង ទីតាំង សារ រូបថត និងឯកសារសំខាន់ផ្សេងទៀតនៅក្នុងដំណើរការ។
នៅឆ្នាំ២០១៨ ក្រុមហ៊ុន Symantec បានរកឃើញយុទ្ធនាការថ្មីមួយដែលបានប្រើប្រាស់កម្មវិធី media player ដែលមានមេរោគដើម្បីទាក់ទាញព័ត៌មានពីឧបករណ៍ និងបញ្ឆោតឲ្យជនរងគ្រោះធ្លាក់ចូលទៅក្នុងការដំឡើងមេរោគបន្ថែម។
ក្រោយមកនៅដើមឆ្នាំនេះ អ្នកស្រាវជ្រាវ Check Point Research បានបង្ហាញពីសញ្ញាថ្មីៗនៃសកម្មភាពរបស់ APT-C-23 នៅពេលប្រតិបត្តិករ Hamas ដាក់រូបក្មេងស្រីវ័យជំទង់នៅលើបណ្តាញសង្គម Facebook Instagram និង Telegram ដើម្បីជាការទាក់ទាញដល់ទាហានអ៊ីស្រាអែលឱ្យដំឡើងកម្មវិធីមេរោគដែលមាននៅលើទូរស័ព្ទរបស់ពួកគេ។
ជំនាន់ចុងក្រោយនៃកម្មវិធី spyware ត្រូវបានលម្អិតដោយ ESET ពង្រីកលក្ខណៈទាំងនេះ រាប់បញ្ចូលទាំងសមត្ថភាពក្នុងការប្រមូលព័ត៌មានពីប្រព័ន្ធផ្សព្វផ្សាយ សង្គម និងកម្មវិធីផ្ញើសារផ្សេងទៀតដូចជាតាមរយៈការថតអេក្រង់ និងរូបថតអេក្រង់ ហើយថែមទាំងចាប់យកការហៅចូល និងចេញនៅក្នុងកម្មវិធី WhatsApp និងអានអត្ថបទពីការជូនដំណឹង និងពីកម្មវិធីប្រព័ន្ធផ្សព្វផ្សាយសង្គមរួមមានដូចជា កម្មវិធី WhatsApp កម្មវិធី Viber កម្មវិធី Facebook កម្មវិធី Skype និងកម្មវិធី Messenger ។
ការចម្លងមេរោគនេះបានចាប់ផ្តើមកើតឡើងនៅពេលជនរងគ្រោះចូលមើលហាងកម្មវិធី Android ក្លែងក្លាយដែលមានឈ្មោះថា “DigitalApps” និងទាញយកកម្មវិធីដូចជា Telegram, Threema និង WeMessage ដោយការជម្រុញនេះមានការក្លែងបន្លំកម្មវិធីផ្ញើសារដែលបង្ហាញពីសិទ្ធិផ្សេងៗស្នើសុំដោយមេរោគ។
ក្រៅពីមានការស្នើសុំការអនុញ្ញាតដើម្បីអានការជូនដំណឹង នៅមានការបិទ Google Play Protect និងកត់ត្រាអេក្រង់អ្នកប្រើក្រោមលក្ខណៈពិសេសនៃសុវត្ថិភាពនិងភាពឯកជន។ មេរោគទាក់ទងជាមួយម៉ាស៊ីនមេបញ្ជានិងត្រួតពិនិត្យ (C2) របស់វាដើម្បីចុះឈ្មោះជនរងគ្រោះដែលទើបឆ្លងថ្មីនិងបញ្ជូនព័ត៌មានរបស់ឧបករណ៍។
ម៉ាស៊ីនមេ C2 ជាធម្មតាមានតួនាទីជាគេហទំព័រ ដែលស្ថិតនៅក្រោមការថែរក្សាក៏ទទួលខុសត្រូវផងដែរនៅក្នុងការបញ្ជូនពាក្យបញ្ជាទៅទូរស័ព្ទជដែលអាចសម្របសម្រួលបានដើម្បីធ្វើការថតសម្លេងឡើងវិញ ចាប់ផ្តើមប្រព័ន្ធ Wi-Fiឡើងវិញ លុបកម្មវិធីណាមួយដែលបានដំឡើងនៅលើឧបករណ៍។
អ្វីដែលពិសេសជាងនេះទៅទៀត វាក៏ត្រូវបានបំពាក់មកជាមួយមុខងារថ្មីដែលលួចលើសេវាការហៅចេញបានយ៉ាងប៉ិនប្រសប់ខណៈពេលដែលប្តូរអេក្រង់ខ្មៅទៅជាខ្មៅដើម្បីបិទបាំងសកម្មភាពហៅទូរស័ព្ទ។
ការស្រាវជ្រាវរបស់យើងបង្ហាញថា ក្រុម APT-C-23 នៅតែមានសកម្មក្នុងការពង្រឹងឧបករណ៍ចល័តវនិងដំណើរការប្រតិបត្តិការថ្មី។ ប្រព័ន្ធប្រតិបត្តិការ Android / SpyC32.A ជាជំនាន់កម្មវិធី(spyware)ថ្មីបំផុតរបស់ក្រុមនេះដោយមានការកែលម្អមួយចំនួនដែលអាចធ្វើឱ្យវាកាន់តែមានគ្រោះថ្នាក់ដល់ជនរងគ្រោះ។ ។
កម្មវិធីដែលបានទាញយកពីហាងកម្មវិធីភាគីទីបី(third-party app stores) ដែលបោកប្រាស់គឺជាច្រកសម្រាប់មេរោគ Android នៅពេលប៉ុន្មានឆ្នាំថ្មីៗនេះ។ វាចាំបាច់ណាស់ដែលយយើងត្រូវធ្វើការតាមដានលើប្រភពព័ត៌មានផ្លូវការដើម្បីកំណត់ហានិភ័យ និងត្រួតពិនិត្យសិទ្ធិដែលបានស្នើសុំដោយកម្មវិធីមុនពេលដំឡើងវានៅលើឧបករណ៍។
