មេរោគ Roaming Mantis ឬ aka Shaoye បន្ថែមមុខងារផ្លាស់ប្តូរ DNS ទៅលើមេរោគ Android ដែលមានឈ្មោះថា Wroba.o/Agent.eq (aka Moqhao, XLoader) ដើម្បីជ្រៀតចូលរ៉ោតទ័រ Wi-Fi នៅកន្លែងសាធារណៈ។ គេរកឃើញថា វាមានសកម្មភាពពេញមួយឆ្នាំ2022 ហើយក្នុងរយៈពេលប៉ុន្មានខែចុងក្រោយនេះ វាកែប្រែឧបករណ៍ និងយុទ្ធសាស្ត្ររបស់វាឱ្យកាន់តែប្រសើរថែមទៀត។
បើយោងតាមប្រភពក្រុមអ្នកស្រាវជ្រាវ Kaspersky បញ្ជាក់ឱ្យដឹងថា មេរោគ Roaming Mantis កំពុងប្រើប្រាស់កំណែថ្មីនៃមេរោគ Wroba.o ដែលមានកូដ និងចង្កោមកូដសម្រាប់ពិនិត្យមើលគំរូរ៉ោតទ័រ Wi-Fi ពី web interface របស់រ៉ោតទ័រ។ អ្នកវាយប្រហារអនុវត្តមុខងារផ្លាស់ប្តូរ DNS ដោយជោគជ័យ ដើម្បីកំណត់គោលដៅរ៉ោតទ័រ Wi-Fi ដែលមានទីតាំងនៅប្រទេសកូរ៉េខាងត្បូង ដោយប្រើចង្កោមកូដទាំងនោះ។ កម្មវិធីផ្លាស់ប្តូរ DNS តភ្ជាប់ទៅគណនី hardcoded vk[.]com ដើម្បីទទួលគោលដៅបន្ទាប់ ដែលផ្តល់អាសយដ្ឋាន DNS IP ក្លែងក្លាយបច្ចុប្បន្នរបស់ឧក្រិដ្ឋជន។ ជាចុងក្រោយ អ្នកផ្លាស់ប្តូរ DNS ប្រើលេខសម្គាល់ និងពាក្យសម្ងាត់លំនាំដើមដែលកំណត់កូដរឹង ហើយបង្កើតសំណួរ URL ជាមួយ DNS IP ក្លែងក្លាយ ដើម្បីសម្របសម្រួលការកំណត់ DNS នៃរ៉ោតទ័រ Wi-Fi អាស្រ័យលើគំរូ។
ម៉ាស៊ីនមេ DNS ដែលប្រើដោយក្រុមនេះ ដោះស្រាយតែឈ្មោះដូម៉េនជាក់លាក់ទៅទំព័រទម្លាក់មេរោគជាក់លាក់ប៉ុណ្ណោះ នៅពេលចូលប្រើពីឧបករណ៍ចល័តដែលសកម្មភាពនោះទំនងជាយុទ្ធសាស្ត្រលាក់សកម្មភាពរបស់វាពីអ្នកស្រាវជ្រាវសុវត្ថិភាព។ ក្រុមអ្នកស្រាវជ្រាវបញ្ជាក់ថា ចាប់តាំងពីខែកញ្ញា ឆ្នាំ2022 មក ក្រុមនេះនឹងកំពុងប្រើប្រាស់មេរោគជាមួយនឹងមុខងារផ្លាស់ប្តូរ DNS ថ្មី ដើម្បីផ្តោតគោលដៅជាចម្បងទៅលើប្រទេសកូរ៉េខាងត្បូង។ អ្នកវាយប្រហារកំពុងកំណត់គោលដៅតំបន់ផ្សេងទៀតដោយប្រើយុទ្ធិសាស្ត្រ smishing ជំនួសឱ្យអ្នកផ្លាស់ប្តូរDNS។ នៅចន្លោះខែកញ្ញា និងខែធ្នូ អត្រារកឃើញខ្ពស់បំផុតនៃមេរោគ Wroba.o គឺនៅក្នុងប្រទេសបារាំង (54.4%) ប្រទេសជប៉ុន (12.1%) និងសហរដ្ឋអាមេរិក (10.1%)។ យោងតាមចំនួននៃការទាញយក APK ព្យាបាទនៅក្នុងពាក់កណ្តាលដំបូងនៃខែធ្នូ តំបន់ដែលរងផលប៉ះពាល់ខ្លាំងជាងគេគឺប្រទេសជប៉ុន ចំនួន 24,645ករណី បន្ទាប់មកគឺប្រទេសអូទ្រីសចំនួន 7,354 ករណី ប្រទេសបារាំងចំនួន 7,246ករណី អាល្លឺម៉ង់ចំនួន 5,827ករណី ប្រទេសកូរ៉េខាងត្បូង ចំនួន508ករណី ប្រទេសតួកគីចំនួន៣៨១ ប្រទេសម៉ាឡេស៊ីចំនួន១៥៤ករណី និងប្រទេសឥណ្ឌាចំនួន២៨ករណី។
អ្នកជំនាញព្យាករណ៍ថា អ្នកវាយប្រហារអាចនឹងអនុវត្តមុខងារផ្លាស់ប្តូរ DNS ក្នុងពេលឆាប់ៗនេះ ដើម្បីកំណត់គោលដៅរ៉ោតទ័រ Wi-Fi នៅក្នុងតំបន់ទាំងនេះ។ ការរកឃើញមុខងារផ្លាស់ប្តូរ DNSថ្មីគឺមានសារៈសំខាន់ខ្លាំងណាស់សម្រាប់សុវត្ថិភាពរបស់អ្នកប្រើប្រាស់ឧបករណ៍ Android ។ អ្នកវាយប្រហារដែលប្រើប្រាស់មុខងារនេះអាចគ្រប់គ្រងទំនាក់ទំនងទាំងអស់ពីឧបករណ៍ដោយប្រើរ៉ោតទ័រ Wi-Fi ដែលត្រូវសម្របសម្រួល។ លើសពីនេះទៅទៀត ពួកគេអាចប្តូរទិសទៅកាន់ម៉ាស៊ីនដែលមានគំនិតអាក្រក់និងរំខានដល់ការធ្វើបច្ចុប្បន្នភាពផលិតផលសុវត្ថិភាព។ អ្នកប្រើប្រាស់ឧបករណ៍ Android ត្រូវស្នើឱ្យជៀសវាងធ្វើការចុចទៅលើតំណភ្ជាប់ដែលទទួលតាមរយៈសារ SMS និងជៀសវាងការដំឡើង APKs នៅខាងក្រៅ Google Play៕
ប្រែសម្រួល៖ប៉ោក លក្ខិណា
