មេរោគថ្មី Sneaky Xamalicious Android បានវាយលុកឧបករណ៍ជាង 327,000

0

ប្រព័ន្ធប្រតិបត្តិការ Android Backdoor ថ្មីត្រូវបានគេរកឃើញថាមានសមត្ថភាពដ៏ខ្លាំងក្លាដើម្បីអនុវត្តក្នុងការទប់ស្កាត់សកម្មភាពព្យាបាទជាច្រើននៅលើឧបករណ៍ដែលមានមេរោគ។ត្រូវបានគេដាក់ឈ្មោះថា Xamalicious ដោយក្រុមស្រាវជ្រាវ McAfee Mobile, មេរោគនេះត្រូវបានគេដាក់ឈ្មោះយ៉ាងដូច្នេះ ដោយសារវាត្រូវបានបង្កើតឡើងដោយប្រើប្រាស់ក្របខណ្ឌកម្មវិធីទូរស័ព្ទបើកចំហរ (Open-Source Mobile App Framework) និងត្រូវបានហៅថា Xamarin ហើយបំពានលើសិទ្ធិប្រើប្រាស់របស់ប្រព័ន្ធប្រតិបត្តិការដើម្បីបំពេញគោលបំណងរបស់ខ្លួន។

វាក៏មានសមត្ថភាពក្នុងការប្រមូលទិន្នន័យ Metadata អំពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួល ដើម្បីគ្រប់គ្រង និងទាក់ទងម៉ាស៊ីនមេ Command-and-Control (C2) ដើម្បីទៅយក Second-Stage Payload ។អ្នកស្រាវជ្រាវសន្តិសុខ Fernando Ruiz បាននិយាយថា Second Stage គឺជា «ការបង្កើតនូវកូដថ្មីបញ្ចូលគ្នាជា File DLL ប្រភេទ runtime level ដើម្បីអាចមានសិទ្ធិគ្រប់គ្រងពេញលេញទៅលើឧបករណ៍ និងអាចអនុវត្តសកម្មភាពក្លែងបន្លំ ដូចជាការចុចលើការផ្សាយពាណិជ្ជកម្ម ការដំឡើងកម្មវិធី ព្រមទាំងក្នុង​ចំណោម​សកម្មភាព​ផ្សេង​ទៀត​ដើម្បីគ្រប់គ្រង​ទៅលើហិរញ្ញវត្ថុ ដោយគ្មានការយល់ព្រមពីអ្នកប្រើប្រាស់»។

ក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតបាននិយាយថា ខ្លួនបានរកឃើញកម្មវិធីចំនួន ២៥ ដែលភ្ជាប់មកជាមួយការគំរាមកំហែងដោយមេរោគ ដែលមួយចំនួនត្រូវបានចែកចាយនៅលើ Google Play Store ជាផ្លូវការចាប់តាំងពីពាក់កណ្តាលឆ្នាំ ២០២០ ។ កម្មវិធី​ត្រូវ​បាន​គេ​ប៉ាន់​ស្មាន​ថា​ត្រូវ​បាន​ដំឡើង​យ៉ាង​ហោច​ណាស់ ៣២៧,០០០ ដង។ភាគច្រើននៃការឆ្លងត្រូវបានរាយការណ៍នៅក្នុងប្រទេសប្រេស៊ីល អាហ្សង់ទីន ចក្រភពអង់គ្លេស អូស្ត្រាលី សហរដ្ឋអាមេរិក ម៉ិកស៊ិក និងផ្នែកផ្សេងទៀតនៃទ្វីបអឺរ៉ុប និងអាមេរិក។

Xamalicious ជាធម្មតាបានក្លែងបន្លំជាកម្មវិធីសុខភាព ហ្គេម ហោរាសាស្ត្រ និង Productivity Apps គឺជាបញ្ជីចុងក្រោយបំផុតនៃគ្រួសារមេរោគដែលបានធ្វើការរំលោភបំពានទៅលើសេវាកម្មភាពងាយស្រួលរបស់ Android ដោយស្នើសុំឱ្យអ្នកប្រើប្រាស់ចូលទៅកាន់វានៅពេលដំឡើង ដើម្បីអនុវត្តសកម្មភាពដែលអាចផ្តល់សិទ្ធិទាំងស្រុង រួមទាំងការផ្តល់ការអនុញ្ញាតបន្ថែម ដោយខ្លួនឯងតាមតម្រូវការ។

“ដើម្បីគេចចេញពីការវិភាគ និងការរកឃើញ អ្នកបង្កើតមេរោគបានធ្វើការ អ៊ិនគ្រីបទំនាក់ទំនង និងទិន្នន័យទាំងអស់ដែលបានបញ្ជូនរវាង C2 និងឧបករណ៍ដែលមានមេរោគ មិនត្រឹមតែការពារដោយ HTTPS ប៉ុណ្ណោះទេ, មិនត្រឹមតែប៉ុណ្ណោះវាត្រូវបានអ៊ិនគ្រីបជានិមិត្តសញ្ញា JSON Web Encryption (JWE) ដោយប្រើ RSA-OAEP ជាមួយនឹង 128CBC-HS256 algorithm” Ruiz ។

កាន់តែលំបាក់ជាងនេះ First-Stage Dropper មានមុខងារដើម្បីធ្វើបច្ចុប្បន្នភាពដោយខ្លួនឯងនូវឯកសារសំខាន់របស់ Android Package (APK) ដែលមានន័យថាវាអាចត្រូវបានបំពាក់ដោយអាវុធដើម្បីដើរតួជា Spyware ឬ Banking Trojan ដោយមិនមានការរំខានដល់អ្នកប្រើប្រាស់ណាមួយឡើយ។ McAfee ក៏បាននិយាយថា ខ្លួនបានកំណត់អត្តសញ្ញាណតំណភ្ជាប់រវាង Xamalicious និងកម្មវិធីក្លែងបន្លំនៃការផ្សាយពាណិជ្ជកម្មដែលមានឈ្មោះថា Cash Magnet ដែលជួយសម្រួលដល់ការទាញយកកម្មវិធី និងសកម្មភាពអ្នកចុចដោយស្វ័យប្រវត្តិ ដើម្បីរកប្រាក់ចំណូលដោយខុសច្បាប់ដោយការចុចលើការផ្សាយពាណិជ្ជកម្ម។

“កម្មវិធី Android ដែលសរសេរជាកូដដោយមិនប្រើប្រាស់ភាសារ java ជាមួយនឹងក្របខ័ណ្ឌដូចជា Flutter, React Native និង Xamarin អាចផ្តល់នូវ Layer បន្ថែមទៅលើភាពច្របូកច្របល់ដល់អ្នកបង្កើតមេរោគនេះ ដោយសារតែជ្រើសរើស Tools ទាំងនេះដោយចេតនា ដើម្បីជៀសវាងពីការស្វែងរកឃើញ (Detection)​ និងព្យាយាមនៅក្រោមរ៉ាដារបស់ Security Vendors ហើយអាចរក្សាវត្តមានរបស់ពួកគេនៅលើ កម្មវិធីទីផ្សារ។

Sneaky Xamalicious Android Malware

នៅក្នុងសេចក្តីថ្លែងការណ៍ដែលបានចែករំលែកជាមួយ The Hacker News ក្រុមហ៊ុន Google បាននិយាយថា Play Protect ការពារអ្នកប្រើប្រាស់ Android ពីមេរោគទាំងនៅលើ និងក្រៅ Play Store ។ ក្រុមហ៊ុនបានបន្ថែមថា “ប្រសិនបើអ្នកប្រើប្រាស់មានកម្មវិធីមួយក្នុងចំណោមកម្មវិធីទាំងនេះរួចហើយដែលដឹងថាមានមេរោគ ហើយបានដំឡើងនោះ អ្នកប្រើប្រាស់បានទទួលការព្រមាន ហើយ វាក៏ត្រូវបានលុបចោលដោយស្វ័យប្រវត្តិពីឧបករណ៍របស់ពួកគេ” ។  “ប្រសិនបើអ្នកប្រើប្រាស់នៅតែព្យាយាមដំឡើងកម្មវិធីជាមួយមេរោគដែលបានកំណត់អត្តសញ្ញាណនេះ ពួកគេនឹងទទួលបានការព្រមាន ហើយកម្មវិធីនឹងត្រូវបានរារាំងមិនឱ្យដំឡើងឡើយ។”

ការបង្ហាញនេះកើតឡើងនៅពេលដែលក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតបានរៀបរាប់លម្អិតអំពីយុទ្ធនាការបន្លំដែលប្រើកម្មវិធីផ្ញើសារសង្គមដូចជា WhatsApp ដើម្បីចែកចាយឯកសារ APK ក្លែងក្លាយ និងក្លែងបន្លំជាធនាគារស្របច្បាប់ដូចជាធនាគាររដ្ឋនៃប្រទេសឥណ្ឌា (SBI) ហើយជំរុញឱ្យអ្នកប្រើប្រាស់ដំឡើងពួកវាដើម្បីបំពេញកាតព្វកិច្ចរបស់អ្នក។ នៅពេលដំឡើងរួច កម្មវិធីនេះស្នើឱ្យអ្នកប្រើប្រាស់ផ្តល់ការអនុញ្ញាតដែលទាក់ទងនឹងសារ SMS និងបញ្ជូនបន្តទៅកាន់ទំព័រក្លែងក្លាយ ដែលមិនត្រឹមតែចាប់យកព័ត៌មានអត្តសញ្ញាណរបស់ជនរងគ្រោះប៉ុណ្ណោះទេ ថែមទាំងគណនីរបស់ពួកគេ ប័ណ្ណឥណទាន/ឥណពន្ធ និងព័ត៌មានអត្តសញ្ញាណជាតិផងដែរ។ ទិន្នន័យដែលប្រមូលបាន រួមជាមួយសារ SMS ដែលត្រូវបានស្ទាក់ចាប់ ត្រូវបានបញ្ជូនបន្តទៅម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយក្រុមហេគឃ័រ។

https://thehackernews.com/2023/12/new-sneaky-xamalicious-android-malware.html

LEAVE A REPLY

Please enter your comment!
Please enter your name here