សហគ្រាសឧក្រិដ្ឋកម្មសាយប័រឈ្មោះ Lemon Group កំពុងតែប្រើទូរស័ព្ទស្មាតហ្វូនប្រភេទ Android ដែលឆ្លងមេរោគរាប់លានគ្រឿងនៅទូទាំងពិភពលោកដើម្បីវាយប្រហារ ហើយរឿងនេះបង្ហាញពីគ្រោះថ្នាក់ខ្សែច្រវាក់ផ្គត់ផ្គង់ដ៏សំខាន់។ក្រុមហ៊ុនសន្តិសុខសាយប័រ Trend Micro ថ្លែងថា ការចម្លងងាកទៅរក mobile proxies សម្រាប់លួចនិងលក់សារ MSM ប្រព័ន្ធផ្សព្វផ្សាយសង្គម និងគណនីផ្ញើសារអនឡាញ និងរកប្រាក់តាមរយៈការផ្សាយពាណិជ្ជកម្ម និងការ click បញ្ឆោត។
សកម្មភាពសម្របសម្រួលនេះមិនតិចជាង ៨,៩លានឧបករណ៍ Android នោះទេ ជាមួយនឹងការចម្លងមេរោគនៅប្រទេសអាមេរិក, Mexico, ឥណ្ឌូនេស៊ី, ថៃ, រុស្ស៊ី, អាព្រិកខាងត្បូង, ឥណ្ឌា, Angola, ហ្វីលីពីន និងអាចិនធីណា។ លទ្ធផលនេះត្រូវបង្ហាញដោយអ្នកស្រាវជ្រាវនៅសន្និសីទ Black Hat Asia នៅប្រទេសសិង្ហបូរី កាលពីសប្តាហ៍មុន។ ការពណ៌នាបង្ហាញពីការវិវត្តនៃបញ្ហា ក្រុមហ៊ុនសន្តិសុខសាយប័រថ្លែងថាហេគឃ័រកំពុងតែមានគោលដៅលើឧបករណ៍ IoT ផ្សេងដែលប្រើកម្មវិធី Android ដូចជា ទូរទស្សន៍ឆ្លាតវៃ (Smart TVs), Android TV boxes, ប្រព័ន្ធកំសាន្ត (entertainment systems), និងសូម្បីតែកម្មវិធីទូរទស្សន៍កុមារ (children’s watches)។
ការចម្លងមេរោគនេះរីកសាយជុំវិញពិភពលោកជាង ១៨០ប្រទេស ជាមួយនឹងទូរស័ព្ទ ៥០ម៉ាក ដែលត្រូវសម្របសម្រួលដោយមេរោគ (malware) ដែលមានឈ្មោះថា Guerilla។ ហេគឃ័រពង្រីកការចម្លងជាង៥ឆ្នាំ បើយោងតាមសំដីអ្នកស្រាវជ្រាវ។ ការសម្របសម្រួលនៅលើរចនាសម្ព័ន្ធសំខាន់ជាមួយនឹងការចម្លងនេះអាចជាប្រភពនៃការស្វែងរកប្រាក់ចំណេញដ៏សំខាន់រយៈពេលវែងរបស់ក្រុម Lemon។ មេរោគ Guerilla ត្រូវរកឃើញដោយក្រុមហ៊ុន Sophos នៅឆ្នាំ២០១៨ នៅពេលដែលវា uploads កម្មវិធីចំនួន ១៥ នៅលើ Play Store ហើយលាក់ខ្លួនដើម្បីទទួលការចុច (click) បញ្ឆោតនិងដើរតួជាទ្វារក្រោយ (backdoor)។ បន្ទាប់ពីហេគឃ័រប្តូរឈ្មោះពី Lemon ទៅ Durian Cloud SMS មេរោគនេះក៏ទទួលការចាប់អារម្មណ៍នៅដើមឆ្នាំ២០២២ ជាមួយនឹងសមត្ថភាពរារាំងសារ SMS ដែលផ្គូរផ្គងតួអក្សរដែលកំណត់ទុកមុនដូចជាលេខសម្ងាត់ one-time passwords (OTPs) ជាមួយនឹងផ្លេតហ្វមអនឡាញផ្សេងៗ។ ក្រុមហ៊ុន Trend Micro ថ្លែងថា មេរោគនេះមានគោលបំណងឆ្លងកាត់ការផ្ទៀងផ្ទាត់ផ្អែកលើសារ (SMS-based) និង advertise bulk virtual phone number (ដែលជាទូរស័ព្ទរបស់អ្នកប្រើ Android ឆ្លងមេរោគដោយពុំដឹងខ្លួន) សម្រាប់លក់។
ខណៈដែលរឿងនេះមានផលចំណេញឯកជនភាព សេវានេះកំពុងបើកឱ្យអ្នកប្រើ sign up សម្រាប់ការប្រើសេវាបណ្តោះអាសន្ន ឬ បោះលេខទូរស័ព្ទចោល ហេគឃ័រក៏អាចប្រើរឿងនេះដើម្បីបង្កើត spam account ជាទ្រង់ទ្រាយធំនិងឆបោក។ លទ្ធផលស្រាវជ្រាវចុងក្រោយពីក្រុមហ៊ុនសន្តិសុខសាយប័របង្ហាញថា លក្ខណៈចាប់យក SMS គឺគ្រាន់តែជាផ្នែក១នៃការ plugins ដែលទាក់ទងនឹងសមាសភាពអ្នកដោនឡូត (aka the main plugin) ដែលមានផ្ទុកដំណើរការ zygote រំខានដល់ library។ គួរកត់សម្គាល់ដែរថា បច្ចេកទេសដូចគ្នានៃការ modify ដំណើរការ zygote ត្រូវចាប់យកដោយមេរោគទូរស័ព្ទផ្សេងឈ្មោះ Triada។ អ្នកស្រាវជ្រាវថ្លែងថា រាល់ដំណើរការកម្មវិធីមានប្រភពចេញមកពី zygote វាក៏អាចត្រូវរំខាន។ plugin ចម្បងនឹងផ្ទុក plugins ផ្សេងជាមួយនឹងដំណើរការឆ្ពោះទៅគោលដៅ និង plugins ផ្សេងទៀតនឹងព្យាយាមគ្រប់គ្រងកម្មវិធីបច្ចុប្បន្នតាមរយៈការប្រមូលបច្ចេកទេស (hook)។ Guerilla plugins នីមួយៗមានតួនាទីធ្វើអាជីវកម្មពិសេសនិងឱកាសរកប្រាក់សម្រាប់ក្រុម Lemon។ ខាងក្រោមនេះជាបញ្ជីឈ្មោះនៃ Guerilla plugins៖
- Proxy plugin សម្រាប់បង្កើត reverse proxy ពីទូរស័ព្ទដែលឆ្លងមេរោគនិងបើកឱ្យហេគឃ័រប្រើសេវាប្រភពបណ្តាញណែតវករបស់ទូរស័ព្ទ
- Cookie plugin សម្រាប់ប្រមូល Facebook cookies និងព័ត៌មានប្រូហ្វាលរបស់អ្នកប្រើប្រាស់
- WhatsApp plugin សម្រាប់លួច sessions និងផ្ញើសារឥតការទៅកាន់អ្នកប្រើ
- Splash plugin បម្រើការផ្សាយពាណិជ្ជកម្មគ្មានការធានានៅពេលដំណើរការកម្មវិធី
- Silent plugin លួចដំឡើង APK file និងបើកដំណើរការកម្មវិធី
ជាងនេះទៀត ការស៊ើបអង្កេតបង្ហាញថា Lemon Group និង Triada ប្រហែលជាសហការគ្នានៅក្នុងប្រតិបត្តិការខ្លះ។ គេជឿថា កម្មវិធីបង្កប់ដែលគ្មានអាជ្ញាបណ្ណកើតឡើងតាមរយៈអ្នកផ្គត់ផ្គង់ទី៣ដែលគ្មានឈ្មោះដែលផលិតកម្មវិធីបង្កប់សម្រាប់ទូរស័ព្ទ និងផលិតឡើងសម្រាប់ Android Auto។ អ្នកស្រាវជ្រាវសន្តិសុខក្រុមហ៊ុន Microsoft លម្អិតពីការាយប្រហារនាពេលថ្មីៗនេះឈ្មោះ Dirty Stream ថា ការងាកទៅរកគោលដៅ Android share ជាវិចទ័រសម្រាប់ការបែងចែក payloads អាក្រក់ និងចាប់យកទិន្នន័យសំខាន់ពីកម្មវិធីផ្សេងដែលដំឡើងនៅលើទូរស័ព្ទ។ គំនិតគឺស្រដៀងគ្នានឹងបញ្ហា file uploads នៃ web app។ ជាងនេះទៀត កម្មវិធីអាក្រក់ប្រើអ្នកផ្តល់ content ដើម្បីគាំទ្រ payloads ដែលវាផ្ញើទៅកម្មវិធីគោលដៅ។ នៅពេលដែលអ្នកផ្ញើគ្រប់គ្រង contents និងឈ្មោះផ្ញើ អ្នកទទួលអាច overwrite លើឯកសារសំខាន់ជាមួយនឹង contents អាក្រក់ក្នុងករណីវាមិនដំណើរការត្រួតពិនិត្យសន្តិសុខ។ នៅត្រង់លក្ខខណ្ឌណាមួយ អ្នកទទួលអាចត្រូវបង្ខំឱ្យថតចម្លងឯកសារការពារបញ្ជូនទៅ public directory ដែលនាំឱ្យប៉ះពាល់ដល់ទិន្នន័យឯកជនភាព៕
