អតិថិជនធនាគារជាច្រើននៅអឺរ៉ុបកំពុងតែក្លាយជាគោលដៅរបស់មេរោគធនាគារ Android មានឈ្មោះថា SpyNote ដែលត្រូវរកឃើញកាលពីខែមិថុនា និងកក្កដា ឆ្នាំ២០២៣។ក្រុមហ៊ុនសន្តិសុខសាយប័រអុីតាលី Cleafy ថ្លែងនៅក្នុងការវិភាគបច្ចេកទេសកាលពីថ្ងៃចន្ទថា មេរោគនេះត្រូវចែកចាយតាមរយៈសារបោកបញ្ឆោត (phishing) ឬប្រតិបត្តិការបន្លំ (smishing) និងសកម្មភាពបោកត្រូវប្រតិបត្តិជាមួយនឹងការភ្ជាប់នៃមេរោគ remote access trojan (RAT) និងការវាយប្រហារតាមទូរសព្ទ (vishing)។ មេរោគ SpyNote ឬ SpyMax ស្រដៀងគ្នានឹងមេរោគធនាគារ Android ផ្សេងដែរថា វាត្រូវការសិទ្ធិដំណើរការរបស់ Android ដើម្បីអាចប្រមូលទិន្នន័យសំខាន់ៗពីម៉ាសុីនឆ្លងមេរោគ។ តួនាទីគួរឱ្យកត់សម្គាល់របស់មេរោគ malware គឺជាកម្មវិធីមេរោគ និងបន្លំជាធនាគារ។
ខ្សែច្រវាក់នៃការវាយប្រហារ កើតឡើងជាមួយនឹងសារបន្លំបញ្ឆោតអ្នកប្រើឱ្យដំឡើងកម្មវិធីធនាគារ ដោយការចុចលើលីងដែលមានភ្ជាប់ រួចនាំជនរងគ្រោះទៅកាន់កម្មវិធី TeamViewer QuickSupport ស្របច្បាប់នៅលើ Google Play Store។ អ្នកស្រាវជ្រាវថ្លែងថា TeamViewer ត្រូវចាប់យកដោយហេគឃ័រជាច្រើននាក់ដើម្បីប្រតិបត្តិការបន្លំតាមរយៈការវាយប្រហារបែប social engineering។ ជាពិសេស ហេគឃ័រហៅទូរស័ព្ទទៅកាន់ជនរងគ្រោះ បន្លំជាភ្នាក់ងារធនាគារ និងដំណើរការផ្ទេរប្រាក់បន្លំនៅលើឧបករណ៍របស់ជនរងគ្រោះ។ គោលដៅគឺដើម្បីប្រើ TeamViewer ជាឈ្នាន់អាចចូលដំណើរការពីចម្ងាយលើទូរស័ព្ទរបស់ជនរងគ្រោះ និងលួចដំឡើងមេរោគ។ ប្រភេទព័ត៌មានដែលមេរោគ SpyNote ប្រមូលរួមមាន៖ ទិន្នន័យទីតាំងភូមិសាស្រ្ត ការចុចលើក្តារចុច (keyboard) ថតអេក្រង់ទូរស័ព្ទ និងសារ SMS ដើម្បីរំលងការផ្ទៀងផ្ទាត់២ជាន់ (2FA) ដែលមាន SMS-based។
ការបង្ហាញក៏មានផ្តល់ជាមួយនឹងប្រតិបត្តិការជួលសម្រាប់ការហេគដែលគេស្គាល់ថាជា ក្រុមហេគឃ័រ Bahamut មានជាប់ទាក់ទងនឹងប្រតិបត្តិការថ្មីដែលមានគោលដៅចំពោះបុគ្គលនៅក្នុងតំបន់អាសុីកណ្តាល និងអាសុីខាងត្បូងក្នុងគោលបំណងដើម្បីដំឡើងកម្មវិធីជជែកកំសាន្តឈ្មោះ SafeChat ដែលមានលាក់មេរោគ Android ឈ្មោះ Coverlm។ មេរោគនេះបញ្ជូនជនរងគ្រោះតាមរយៈ WhatsApp កម្មវិធីនេះមានលក្ខណៈដូច SpyNote វាស្នើសុំសិទ្ធិប្រតិបត្តិ ដើម្បីប្រមូលទិន្នន័យ call logs, contact, files, location, សារ SMS ក៏ដូចជាដំឡើងកម្មវិធីបន្ថែម និងលួចទិន្នន័យពី Facebook Messenger, imo, Signal, Telegram, Viber, and WhatsApp។ ក្រុមហ៊ុន Cyfirma បង្ហាញសកម្មភាពថ្មីៗថា តិចនិចដាក់ពង្រាយរបស់ហេគឃ័របន្លំជាភ្នាក់ងាររដ្ឋជាតិផ្សេងដែលគេស្គាល់ថាជា DoNot Team ដែលត្រូវរកនាពេលថ្មីៗនេះថាប្រើកម្មវិធី Android ក្លែងក្លាយដាក់ចេញនៅលើ Play Store ដើម្បីចម្លងមេរោគទៅកាន់អ្នករស់នៅប្រទេសប៉ាគីស្ថាន។
ខណៈពេលដែលការបន្លំបែប social engineering ជាផ្នែកមួយនៃការវាយប្រហារដែលមិនច្បាស់លាស់នោះ ក្រុមហេគឃ័រឈានមុខ (APT) Bahamut ដែលគេស្គាល់ថាពឹងលើអត្តសញ្ញាណប្រឌិតនៅលើ Facebook និង Instagram បន្លំជាអ្នករើសបុគ្គលិកនៅក្នុងក្រុមហ៊ុន អ្នកសារព័ត៌មាន សិស្ស និងសកម្មជនដើម្បីបញ្ឆោតអ្នកប្រើឱ្យដោនឡូតមេរោគនៅលើឧបករណ៍របស់ពួកគេ។ ក្រុមហ៊ុន Meta បង្ហាញកាលពីខែឧសភា ឆ្នាំ២០២៣ ថាក្រុម Bahamut ប្រើតិចនិចច្រើនដើម្បីបង្ហោះនិងចែកចាយមេរោគ រួមទាំងប្រើបណ្តាញណែតវកដូមិនអាក្រក់ដោយអះអាងថាផ្តល់នូវការជជែក ការចែករំលែកឯកសារ សេវាទំនាក់ទំនង ឬកម្មវិធីព័ត៌មានដែលមានសុវត្ថិភាព។ នៅក្នុងចំណោមពួកគេបន្លំដូមិននៃប្រព័ន្ធផ្សព្វផ្សាយក្នុងតំបន់ អង្គភាពនយោបាយ ឬហាងលក់កម្មវិធីស្របច្បាប់ ដើម្បីធ្វើឱ្យលីងរបស់ពួកគេមើលទៅកាន់តែស្របច្បាប់៕
