ប្រព័ន្ធប្រតិបត្តិការ Android Backdoor ថ្មីត្រូវបានគេរកឃើញថាមានសមត្ថភាពដ៏ខ្លាំងក្លាដើម្បីអនុវត្តក្នុងការទប់ស្កាត់សកម្មភាពព្យាបាទជាច្រើននៅលើឧបករណ៍ដែលមានមេរោគ។ត្រូវបានគេដាក់ឈ្មោះថា Xamalicious ដោយក្រុមស្រាវជ្រាវ McAfee Mobile, មេរោគនេះត្រូវបានគេដាក់ឈ្មោះយ៉ាងដូច្នេះ ដោយសារវាត្រូវបានបង្កើតឡើងដោយប្រើប្រាស់ក្របខណ្ឌកម្មវិធីទូរស័ព្ទបើកចំហរ (Open-Source Mobile App Framework) និងត្រូវបានហៅថា Xamarin ហើយបំពានលើសិទ្ធិប្រើប្រាស់របស់ប្រព័ន្ធប្រតិបត្តិការដើម្បីបំពេញគោលបំណងរបស់ខ្លួន។
វាក៏មានសមត្ថភាពក្នុងការប្រមូលទិន្នន័យ Metadata អំពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួល ដើម្បីគ្រប់គ្រង និងទាក់ទងម៉ាស៊ីនមេ Command-and-Control (C2) ដើម្បីទៅយក Second-Stage Payload ។អ្នកស្រាវជ្រាវសន្តិសុខ Fernando Ruiz បាននិយាយថា Second Stage គឺជា «ការបង្កើតនូវកូដថ្មីបញ្ចូលគ្នាជា File DLL ប្រភេទ runtime level ដើម្បីអាចមានសិទ្ធិគ្រប់គ្រងពេញលេញទៅលើឧបករណ៍ និងអាចអនុវត្តសកម្មភាពក្លែងបន្លំ ដូចជាការចុចលើការផ្សាយពាណិជ្ជកម្ម ការដំឡើងកម្មវិធី ព្រមទាំងក្នុងចំណោមសកម្មភាពផ្សេងទៀតដើម្បីគ្រប់គ្រងទៅលើហិរញ្ញវត្ថុ ដោយគ្មានការយល់ព្រមពីអ្នកប្រើប្រាស់»។
ក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតបាននិយាយថា ខ្លួនបានរកឃើញកម្មវិធីចំនួន ២៥ ដែលភ្ជាប់មកជាមួយការគំរាមកំហែងដោយមេរោគ ដែលមួយចំនួនត្រូវបានចែកចាយនៅលើ Google Play Store ជាផ្លូវការចាប់តាំងពីពាក់កណ្តាលឆ្នាំ ២០២០ ។ កម្មវិធីត្រូវបានគេប៉ាន់ស្មានថាត្រូវបានដំឡើងយ៉ាងហោចណាស់ ៣២៧,០០០ ដង។ភាគច្រើននៃការឆ្លងត្រូវបានរាយការណ៍នៅក្នុងប្រទេសប្រេស៊ីល អាហ្សង់ទីន ចក្រភពអង់គ្លេស អូស្ត្រាលី សហរដ្ឋអាមេរិក ម៉ិកស៊ិក និងផ្នែកផ្សេងទៀតនៃទ្វីបអឺរ៉ុប និងអាមេរិក។
Xamalicious ជាធម្មតាបានក្លែងបន្លំជាកម្មវិធីសុខភាព ហ្គេម ហោរាសាស្ត្រ និង Productivity Apps គឺជាបញ្ជីចុងក្រោយបំផុតនៃគ្រួសារមេរោគដែលបានធ្វើការរំលោភបំពានទៅលើសេវាកម្មភាពងាយស្រួលរបស់ Android ដោយស្នើសុំឱ្យអ្នកប្រើប្រាស់ចូលទៅកាន់វានៅពេលដំឡើង ដើម្បីអនុវត្តសកម្មភាពដែលអាចផ្តល់សិទ្ធិទាំងស្រុង រួមទាំងការផ្តល់ការអនុញ្ញាតបន្ថែម ដោយខ្លួនឯងតាមតម្រូវការ។
“ដើម្បីគេចចេញពីការវិភាគ និងការរកឃើញ អ្នកបង្កើតមេរោគបានធ្វើការ អ៊ិនគ្រីបទំនាក់ទំនង និងទិន្នន័យទាំងអស់ដែលបានបញ្ជូនរវាង C2 និងឧបករណ៍ដែលមានមេរោគ មិនត្រឹមតែការពារដោយ HTTPS ប៉ុណ្ណោះទេ, មិនត្រឹមតែប៉ុណ្ណោះវាត្រូវបានអ៊ិនគ្រីបជានិមិត្តសញ្ញា JSON Web Encryption (JWE) ដោយប្រើ RSA-OAEP ជាមួយនឹង 128CBC-HS256 algorithm” Ruiz ។
កាន់តែលំបាក់ជាងនេះ First-Stage Dropper មានមុខងារដើម្បីធ្វើបច្ចុប្បន្នភាពដោយខ្លួនឯងនូវឯកសារសំខាន់របស់ Android Package (APK) ដែលមានន័យថាវាអាចត្រូវបានបំពាក់ដោយអាវុធដើម្បីដើរតួជា Spyware ឬ Banking Trojan ដោយមិនមានការរំខានដល់អ្នកប្រើប្រាស់ណាមួយឡើយ។ McAfee ក៏បាននិយាយថា ខ្លួនបានកំណត់អត្តសញ្ញាណតំណភ្ជាប់រវាង Xamalicious និងកម្មវិធីក្លែងបន្លំនៃការផ្សាយពាណិជ្ជកម្មដែលមានឈ្មោះថា Cash Magnet ដែលជួយសម្រួលដល់ការទាញយកកម្មវិធី និងសកម្មភាពអ្នកចុចដោយស្វ័យប្រវត្តិ ដើម្បីរកប្រាក់ចំណូលដោយខុសច្បាប់ដោយការចុចលើការផ្សាយពាណិជ្ជកម្ម។
“កម្មវិធី Android ដែលសរសេរជាកូដដោយមិនប្រើប្រាស់ភាសារ java ជាមួយនឹងក្របខ័ណ្ឌដូចជា Flutter, React Native និង Xamarin អាចផ្តល់នូវ Layer បន្ថែមទៅលើភាពច្របូកច្របល់ដល់អ្នកបង្កើតមេរោគនេះ ដោយសារតែជ្រើសរើស Tools ទាំងនេះដោយចេតនា ដើម្បីជៀសវាងពីការស្វែងរកឃើញ (Detection) និងព្យាយាមនៅក្រោមរ៉ាដារបស់ Security Vendors ហើយអាចរក្សាវត្តមានរបស់ពួកគេនៅលើ កម្មវិធីទីផ្សារ។
នៅក្នុងសេចក្តីថ្លែងការណ៍ដែលបានចែករំលែកជាមួយ The Hacker News ក្រុមហ៊ុន Google បាននិយាយថា Play Protect ការពារអ្នកប្រើប្រាស់ Android ពីមេរោគទាំងនៅលើ និងក្រៅ Play Store ។ ក្រុមហ៊ុនបានបន្ថែមថា “ប្រសិនបើអ្នកប្រើប្រាស់មានកម្មវិធីមួយក្នុងចំណោមកម្មវិធីទាំងនេះរួចហើយដែលដឹងថាមានមេរោគ ហើយបានដំឡើងនោះ អ្នកប្រើប្រាស់បានទទួលការព្រមាន ហើយ វាក៏ត្រូវបានលុបចោលដោយស្វ័យប្រវត្តិពីឧបករណ៍របស់ពួកគេ” ។ “ប្រសិនបើអ្នកប្រើប្រាស់នៅតែព្យាយាមដំឡើងកម្មវិធីជាមួយមេរោគដែលបានកំណត់អត្តសញ្ញាណនេះ ពួកគេនឹងទទួលបានការព្រមាន ហើយកម្មវិធីនឹងត្រូវបានរារាំងមិនឱ្យដំឡើងឡើយ។”
ការបង្ហាញនេះកើតឡើងនៅពេលដែលក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិតបានរៀបរាប់លម្អិតអំពីយុទ្ធនាការបន្លំដែលប្រើកម្មវិធីផ្ញើសារសង្គមដូចជា WhatsApp ដើម្បីចែកចាយឯកសារ APK ក្លែងក្លាយ និងក្លែងបន្លំជាធនាគារស្របច្បាប់ដូចជាធនាគាររដ្ឋនៃប្រទេសឥណ្ឌា (SBI) ហើយជំរុញឱ្យអ្នកប្រើប្រាស់ដំឡើងពួកវាដើម្បីបំពេញកាតព្វកិច្ចរបស់អ្នក។ នៅពេលដំឡើងរួច កម្មវិធីនេះស្នើឱ្យអ្នកប្រើប្រាស់ផ្តល់ការអនុញ្ញាតដែលទាក់ទងនឹងសារ SMS និងបញ្ជូនបន្តទៅកាន់ទំព័រក្លែងក្លាយ ដែលមិនត្រឹមតែចាប់យកព័ត៌មានអត្តសញ្ញាណរបស់ជនរងគ្រោះប៉ុណ្ណោះទេ ថែមទាំងគណនីរបស់ពួកគេ ប័ណ្ណឥណទាន/ឥណពន្ធ និងព័ត៌មានអត្តសញ្ញាណជាតិផងដែរ។ ទិន្នន័យដែលប្រមូលបាន រួមជាមួយសារ SMS ដែលត្រូវបានស្ទាក់ចាប់ ត្រូវបានបញ្ជូនបន្តទៅម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយក្រុមហេគឃ័រ។
https://thehackernews.com/2023/12/new-sneaky-xamalicious-android-malware.html