មេរោគធនាគារ Android Anatsa បានពង្រីកខ្លួនទៅកាន់ប្រទេស Slovakia, Slovenia និង Czechia ដែលជាផ្នែកមួយនៃយុទ្ធនាការថ្មី បើយោងតាមការសង្កេតកាលពីខែវិច្ឆិកា ឆ្នាំ២០២៣។ThreatFabric បានថ្លែងថា នៅក្នុងយុទ្ធនាការ កម្មវិធីខ្លះ (Droppers) បានកេងចំណេញលើសេវា បើទោះបីជា Google Play បានជម្រុញការការពារ និងការតាមចាប់យ៉ាងណាក្តី។ នៅក្នុងយុទ្ធនាការនេះ កម្មវិធី (Droppers) ទាំងអស់បានបង្ហាញពីសមត្ថភាពឆ្លងកាត់ការរឹតបន្តឹង (Restricted Setting) សម្រាប់សេវាដំណើរការ (Accessibility Service) នៅក្នុង Android 13។
សរុបនៅក្នុងយុទ្ធនាការមានកម្មវិធីចំនួន៥ (Droppers) និងការដំឡើងសរុបជាង ១០០,០០០ដង។ ក្រៅពីឈ្មោះ Anatsa នៅមានឈ្មោះ TeaBot និង Toddler ដែលត្រូវបានចែកចាយដោយការបន្លំជាកម្មវិធីល្អនៅលើ Google Play Store។ កម្មវិធីទាំងនេះ ត្រូវបានហៅថា Droppers អាចសម្របសម្រួលការដំឡើងមេរោគដោយការគេចវេសពីវិធានការសុវត្ថិភាពដែលបានដាក់បញ្ចូលដោយ Google ដើម្បីស្វែងរកសិទ្ធិអនុញ្ញាត។ កាលពីខែមិថុនា ឆ្នាំ២០២៣ ក្រុមហ៊ុនសុវត្ថិភាពទូរស័ព្ទ Dutch បានបង្ហាញពីយុទ្ធនាការ Anatsa ថាមានគោលដៅលើអតិថិជនធនាគារនៅអាមេរិក អង់គ្លេស អាឡឺម៉ង់ អូទ្រីស និងស្វីសតាំងពីខែមីនា ឆ្នាំ២០២៣ ដោយប្រើប្រាស់កម្មវិធី (Droppers) ដែលត្រូវបានដោនឡូតជាង ៣០,០០០ដងចេញពី Play Store។
មេរោគ Anatsa មានសមត្ថភាពគ្រប់គ្រងពេញលេញលើឧបករណ៍ឆ្លងមេរោគ និងបញ្ជាក្នុងនាមជាជនរងគ្រោះ។ វាក៏អាចលួចអត្តសញ្ញាណ និងប្រើសម្រាប់ផ្ទេរប្រាក់ក្លែងក្លាយផងដែរ។ នៅពេលដែល កម្មវិធីមេរោគមិនអាចដោនឡូតចេញពីប្រភពផ្លូវការរបស់ Android ប៉ុន្តែវាក៏អាចត្រូវបានដោនឡូតចេញពីប្រភព Third-Party ដែរ។
អ្នកស្រាវជ្រាវ ThreatFabric បានថ្លែងថា ដំបូងកម្មវិធីមើលទៅដូចជាល្អទេ។ តែទោះជាយ៉ាងណា រយៈពេល១សប្តាហ៍បន្ទាប់ពីនោះ នឹងមានបច្ចុប្បន្នភាពដែលមានបង្កប់កូដអាក្រក់។ ការធ្វើបច្ចុប្បន្នភាពនេះបានផ្លាស់ប្តូរមុខងារសេវាដំណើរការ ដែលបើកឱ្យមេរោគធ្វើសកម្មភាពអាក្រក់ដូចជាការចុចលើប៊ូតុងដោយស្វ័យប្រវត្តិនៅពេលវាទទួលការគណនាពី [Command-and-Control] Server។ អ្វីទៅគួរឱ្យកត់សម្គាល់ចំពោះកម្មវិធី (Dropper) គឺថា វាកេងចំណេញលើសេវាដំណើរការរបស់ Samsung Devices ដែលបញ្ជាក់ថា វាត្រូវបានបង្កើតឡើងសម្រាប់គោលដៅ Company-Made Handsets។ កម្មវិធីមេរោគនេះក៏មានសមត្ថភាពគេចពីការរឹតបន្តឹង (Restricted Setting) របស់ Android 13 ដោយការត្រាប់តាមដំណើរការរបស់ Marketplaces សម្រាប់ដំឡើងកម្មវិធីថ្មី ដោយគ្មានមុខងារសេវា (Service Funtinalities) Disabled ដូចដែលបានសង្កេតឃើញនៅក្នុងករណី Dropper Service ដូចជា SecuriDropper ជាដើម។
ជាងនេះកម្មវិធីមេរោគ (Dropper) ត្រូវបានសង្កេតឃើញពីការប្រើប្រាស់វិធីសាស្រ្តចម្រុះដើម្បីគេចពីការតាមចាប់រួមមានការដោនឡូត ការគណនា និង APK Payloads ពី C2 server ដែលបើកឱ្យហេគឃ័រផ្លាស់ប្តូរសមាសធាតុ (Components) នៅពេលពួកគេចង់បាន។ ThreatFabric បានថ្លែងថា ហេគឃ័រទាំងនេះផ្តោតលើការវាយប្រហារលើតំបន់ជាក់លាក់ជាជាងពង្រីកជាសកល បើយោងតាមដំណើរនៃការផ្លាស់ប្តូររបស់ពួកគេ។ វិធីសាស្រ្តគោលដៅទាំងនេះអាចឱ្យពួកគេផ្តោតលើចំនួនជាក់លាក់របស់ស្ថាប័នហិរញ្ញវត្ថុ ដែលអាចបណ្តាលឱ្យមានកំណើននៃករណីបំពាននៅក្នុងរយៈពេលដ៏ខ្លីបាន៕
https://thehackernews.com/2024/02/anatsa-android-trojan-bypasses-google.html
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៩ ខែកុម្ភៈ ឆ្នាឱ២០២៤
