អ្នកស្រាវជ្រាវសន្តិសុខសាយប័របានបង្ហាញពីមេរោគឈ្មោះ FjordPhantom ដែលត្រូវបានគេសង្កេតឃើញថា កំពុងតែវាយប្រហារលើប្រទេសអាស៊ីអាគ្នេយ៍ដូចជា ឥណ្ឌូនេស៊ី ថៃ និងវៀតណាម កាលពីដើមខែកញ្ញា ឆ្នាំ២០២៣។ក្រុមហ៊ុន Promon បានថ្លែងថា ជាបឋមការវាយប្រហារតាមរយៈសេវាផ្ញើសារ វាភ្ជាប់ App-Based Malware ជាមួយ Social Engineering ដើម្បីបញ្ឆោតអតិថិជនធនាគារ។
ជាងនេះទៀត មានការផ្សព្វផ្សាយតាមរយៈ Email, SMS និងកម្មវិធីផ្ញើសារ ជាខ្សែច្រវាក់ដើម្បីអាចវាយប្រហារបញ្ឆោតអ្នកទទួលសារឱ្យដោនឡូតកម្មវិធីធនាគារដែលអះអាងពីការភ្ជាប់ជាមួយលក្ខណៈពិសេសស្របច្បាប់ ប៉ុន្តែការពិតហេគឃ័របានរួមបញ្ចូលនូវសមាសធាតុបន្លំសោះ។ ជនរងគ្រោះស្ថិតនៅក្រោមការឆបោកបែប Social Engineering ដែលស្រដៀងគ្នានឹងការបញ្ជូនការវាយប្រហារតាមទូរស័ព្ទ (TOAD) ដែលពាក់ព័ន្ធនឹងការហៅទៅកាន់មជ្ឈមណ្ឌលហៅទូរសព្ទក្លែងបន្លំ ដើម្បីទទួលបានការណែនាំជាជំហានៗ សម្រាប់ការដំណើរការកម្មវិធី។
លក្ខណៈរបស់មេរោគគឺជាផ្នែកមួយនៃមេរោគធនាគារ ដែលប្រើ Virtualization ដើម្បីដំណើរការកូដអាក្រក់នៅក្នុង Container និងដំណើរការដោយគ្មាននរណាដឹង។ ក្រុមហ៊ុន Promon បានថ្លែងថា វិធីសាស្រ្តលាក់ខ្លួនគេចពីប្រព័ន្ធការពារ Sandbox របស់ Android ដោយសារតែវាអនុញ្ញាតឱ្យកម្មវិធីផ្សេងដំណើរការនៅលើ Sandbox ដូចគ្នា ដែលអាចឱ្យមេរោគអាចចូលដំណើរការទិន្នន័យដោយមិនចាំបាច់ទាមទារសិទ្ធិជា Root Access។ អ្នកស្រាវជ្រាវបានបន្ថែមថា ដំណោះស្រាយ Virtualization ដែលប្រើដោយមេរោគអាចត្រូវបានប្រើដើម្បីបញ្ចូលកូដទៅក្នុងកម្មវិធី ដោយសារតែ Virtualization Solution នឹងផ្ទុក (Load) កូដរបស់ខ្លួនជាមុន (និងអ្វីគ្រប់យ៉ាងអាចរកបាននៅក្នុងកម្មវិធីរបស់វា) និងបន្ទាប់មកផ្ទុកកូដកម្មវិធីដែលត្រូវបានបង្ហោះ (Hosted)។ នៅក្នុងករណីមេរោគ FjordPhantom កម្មវិធីបង្ហោះត្រូវបានដោនឡូតរួមមាន Module អាក្រក់ និង Virtualization Element ដែលត្រូវបានប្រើសម្រាប់ដំឡើង និងដាក់ចេញនូវកម្មវិធីបង្កប់ (Embedded App) របស់ធនាគារគោលដៅនៅក្នុង Virtual Container។ ឬអាចនិយាយបានថា កម្មវិធីអាក្រក់ត្រូវបានបង្កើតឡើងដើម្បីផ្ទុក (Load) កម្មវិធីស្របច្បាប់របស់ធនាគារនៅក្នុង Virtual Container ខណៈពេលនៃការដាក់ពង្រាយ Hooking Framework នៅក្នុងមជ្ឈដ្ឋាន ដើម្បីផ្លាស់ប្តូរឥរិយាបថរបស់ Key APIs ដើម្បីចាប់យកព័ត៌មានសំខាន់ ពីអេក្រង់របស់កម្មវិធី (Application’s Screen Programmatically) និងបិទ Dialog Boxes ដែលប្រើដើម្បីព្រមានសកម្មភាពអាក្រក់នៅលើឧបករណ៍របស់អ្នកប្រើប្រាស់។
នៅពេលស្នើសុំជួបក្រុមហ៊ុន Google បានប្រាប់សារព័ត៌មាន The Hacker News ថា អ្នកប្រើត្រូវបានការពារដោយ Google Play Protect ដែលអាចព្រមានអ្នកប្រើ ឬ Block Apps ដែលមានឥរិយាបថអាក្រក់នៅលើឧបករណ៍ Android ជាមួយនឹងសេវា Google Play ទោះបីជា កម្មវិធីទាំងនោះមានប្រភពមកក្រៅពី Google Play យ៉ាងណាក្តី។ មេរោគ FjordPhantom ត្រូវបានសរសេរនៅក្នុង Modular Way ដើម្បីវាយប្រហារលើកម្មវិធីធនាគារផ្សេងៗ បើយោងតាមអ្នកស្រាវជ្រាវ។ អាស្រ័យលើកម្មវិធីធនាគារដែលត្រូវបានបង្កប់មេរោគ នោះវានឹងធ្វើការវាយប្រហារផ្សេងៗលើកម្មវិធីធនាគារទាំងនោះ៕
https://thehackernews.com/2023/12/new-fjordphantom-android-malware.html
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០១ ខែធ្នូ ឆ្នាំ២០២៣
