បុគ្គលជាច្រើននាក់នៅប្រទេសប៉ាគីស្ថានត្រូវក្លាយជាគោលដៅនៃការវាយប្រហារពីការប្រើកម្មវិធី Android បញ្ឆោតចំនួន២ នៅលើ Google Play Store។ក្រុមហ៊ុនសន្តិសុខសាយប័របង្ហាញពីប្រតិបត្តិការនេះថាជាស្នាដៃរបស់ក្រុម DoNot Team ដែលត្រូវតាមដានជា APT-C-35 និង Viceroy Tiger។ សកម្មភាពនៃការវាយប្រហារពាក់ព័ន្ធនឹងការឆបោកម្ចាស់ទូរសព័្ទដៃ Android ឱ្យដោនឡូតកម្មវិធីដែលត្រូវប្រើដើម្បីទាញយក contact និងទិន្នន័យទីតាំងពីជនរងគ្រោះដោយមិនដឹងខ្លួន។ ក្រុមហ៊ុនថ្លែងថា គោលបំណងនៅពីក្រោយការវាយប្រហារគឺដើម្បីប្រមូលយកព័ត៌មានតាមរយៈការដោនឡូត (stager) payload និងប្រមូលព័ត៌មានពី second-stage attack ដែលប្រើមេរោគមានជំនាញបំផ្លាញ (destructive features)។
ក្រុម DoNot Team ត្រូវសង្ស័យថាជាហេគឃ័រមានទំនាក់ទំនងជាមួយឥណ្ឌា (India-nexus) ដែលល្បីខាងវាយប្រហារប្រឆាំងនឹងប្រទេសផ្សេងៗនៅក្នុងអាស៊ីខាងត្បូង។ ក្រុមនេះ យ៉ាងហោចណាស់មានសកម្មភាពតាំងពី២០១៦។ នៅខែតុលា ឆ្នាំ២០២១ របាយការណ៍ពី Amnesty International ភ្ជាប់រចនាសម្ព័ន្ធការវាយប្រហាររបស់ក្រុមនេះជាមួយក្រុមហ៊ុនសន្តិសុខសាយប័រឥណ្ឌាឈ្មោះ Innerfu Labs និង Goup-IB កាលពីខែកុម្ភៈ ឆ្នាំ២០២៣ ដែលត្រូវកំណត់អត្តសញ្ញាណថាដូចគ្នានឹងក្រុម DoNot Team និង SideWinder ថាជាក្រុមហេគឃ័រដែលមានដើមកំណើតពីជនជាតិឥណ្ឌា។
ខ្សែច្រវាក់នៃការវាយប្រហារចាប់ផ្តើមជាមួយនឹងសារបញ្ឆោត spear-phishing emails ដែលមានឯកសារមេរោគ និងឯកសារបញ្ឆោតដើម្បីពង្រីកមេរោគ។ ជាងនេះទៀត ហេគឃ័រត្រូវស្គាល់ថាប្រើ កម្មវិធី Android មេរោគដែលបន្លំជាកម្មវិធីស្របច្បាប់។ កម្មវិធីទាំងនេះនៅពេលដំឡើង វាចាប់ផ្តើមប្រតិបត្តិការមេរោគ trojan និងអាចគ្រប់គ្រងលើប្រព័ន្ធរបស់ជនរងគ្រោះ ក្រៅពីលួចព័ត៌មានអត្តសញ្ញាណពីឧបករណ៍ឆ្លងមេរោគ។
ថ្មីៗនេះ ក្រុមហ៊ុន Cyfirma រកឃើញអ្នកអភិវឌ្ឍឈ្មោះ “SecurITY Industry” ប្រើកម្មវិធី VPN និង chat app នៅលើ Play Store ជាក់ស្តែងដូចជា iKHfaa VPN (10+ downloads) និង nSure Chat (100+ downloads)។ កម្មវិធី VPN ប្រើ source code ដែលយកចេញពី Liberty VPN product ដែលអត់មានបង្ហោះនៅលើ app store ផ្លូវការទៀតទេ បើទោះជាមានភស្តុតាងបង្ហាញថាវាអាចរកនាពេលថ្មីៗកាលពីពាក់កណ្តាលខែមិថុនា ឆ្នាំ២០២៣ យ៉ាងណាក្តី។ ចំនួនអ្នកដោនឡូតមានបរិមាណតិចនោះបង្ហាញថាកម្មវិធីនេះកំពុងតែត្រូវប្រើសម្រាប់ប្រតិបត្តិការ។ កម្មវិធីទាំង២ ត្រូវបង្កើតឡើងដើម្បីបញ្ឆោតជនរងគ្រោះឱ្យផ្តល់នូវសិទ្ធិចូលប្រើ contact និងទីតាំងរបស់ពួកគេ។ ជនរងគ្រោះដែលកំពុងតែប្រើកម្មវិធីឆបោកទាំងនេះមានទីតាំងនៅប្រទេសប៉ាគីស្ថាន។ គេជឿថា អ្នកប្រើអាចចូលទៅដល់ការឆ្លងមេរោគតាមរយៈសារនៅលើកម្មវិធី Telegram និង WhatApp ដែលបញ្ឆោតពួកគេឱ្យដំឡើងកម្មវិធីទាំងនេះ។ ការប្រើ Google Play Store ជាវុិចទ័រសម្រាប់ចែកចាយមេរោគនោះបំពានលើទំនុកចិត្តដោយប្រយោលដែលបញ្ចូលដោយអ្នកប្រើនៅលើទីផ្សារកម្មវិធីអនឡាញ និងផ្តល់ឱ្យនូវភាពស្របច្បាប់នោះ។
ដូច្នេះ វាចាំបាច់ណាស់ថាមុននឹងដោនឡូត អ្នកប្រើត្រូវតែពិនិត្យឱ្យច្បាស់លាស់។ ក្រុមហ៊ុន Cyfirma ថ្លែងថា វាលេចឡើងថាមេរោគ Android ត្រូវបង្កើតឡើងសម្រាប់ប្រមូលព័ត៌មាន។ ដោយការទាញយកសិទ្ធិប្រើ contact list និងទីតាំងរបស់ជនរងគ្រោះ ហេគឃ័រអាចប្រើវិធីសាស្រ្តផ្សេងទៀតដើម្បីវាយប្រហារ និងដាក់ពង្រាយមេរោគ Android ដែលមានលក្ខណៈឈានមុខសម្រាប់កេងប្រវ័ញ្ចពីជនរងគ្រោះ៕
