មេរោគធនាគារ Anatsa Android អាចឆ្លងកាត់ប្រព័ន្ធសុវត្ថិភាព Google អាចពង្រីកការរាលដាលចូលទៅកាន់ប្រទេសថ្មី

0

មេរោគធនាគារ Android Anatsa បានពង្រីកខ្លួនទៅកាន់ប្រទេស Slovakia, Slovenia និង Czechia ដែលជាផ្នែកមួយនៃយុទ្ធនាការថ្មី បើយោងតាមការសង្កេតកាលពីខែវិច្ឆិកា ឆ្នាំ២០២៣។ThreatFabric បានថ្លែងថា នៅក្នុងយុទ្ធនាការ កម្មវិធីខ្លះ (Droppers) បានកេងចំណេញលើសេវា បើទោះបីជា Google Play បានជម្រុញការការពារ និងការតាមចាប់យ៉ាងណាក្តី។ នៅក្នុងយុទ្ធនាការនេះ កម្មវិធី (Droppers) ទាំងអស់បានបង្ហាញពីសមត្ថភាពឆ្លងកាត់ការរឹតបន្តឹង (Restricted Setting) សម្រាប់សេវាដំណើរការ (Accessibility Service) នៅក្នុង Android 13។

សរុបនៅក្នុងយុទ្ធនាការមានកម្មវិធីចំនួន៥ (Droppers) និងការដំឡើងសរុបជាង ១០០,០០០ដង។ ក្រៅពីឈ្មោះ Anatsa នៅមានឈ្មោះ TeaBot និង Toddler ដែលត្រូវបានចែកចាយដោយការបន្លំជាកម្មវិធីល្អនៅលើ Google Play Store។ កម្មវិធីទាំងនេះ ត្រូវបានហៅថា Droppers អាចសម្របសម្រួលការដំឡើងមេរោគដោយការគេចវេសពីវិធានការសុវត្ថិភាពដែលបានដាក់បញ្ចូលដោយ Google ដើម្បីស្វែងរកសិទ្ធិអនុញ្ញាត។ កាលពីខែមិថុនា ឆ្នាំ២០២៣ ក្រុមហ៊ុនសុវត្ថិភាពទូរស័ព្ទ Dutch បានបង្ហាញពីយុទ្ធនាការ Anatsa ថាមានគោលដៅលើអតិថិជនធនាគារនៅអាមេរិក អង់គ្លេស អាឡឺម៉ង់ អូទ្រីស និងស្វីសតាំងពីខែមីនា ឆ្នាំ២០២៣ ដោយប្រើប្រាស់កម្មវិធី (Droppers) ដែលត្រូវបានដោនឡូតជាង ៣០,០០០ដងចេញពី Play Store។

មេរោគ Anatsa មានសមត្ថភាពគ្រប់គ្រងពេញលេញលើឧបករណ៍ឆ្លងមេរោគ និងបញ្ជាក្នុងនាមជាជនរងគ្រោះ។ វាក៏អាចលួចអត្តសញ្ញាណ និងប្រើសម្រាប់ផ្ទេរប្រាក់ក្លែងក្លាយផងដែរ។ នៅពេលដែល កម្មវិធីមេរោគមិនអាចដោនឡូតចេញពីប្រភពផ្លូវការរបស់ Android ប៉ុន្តែវាក៏អាចត្រូវបានដោនឡូតចេញពីប្រភព Third-Party ដែរ។

អ្នកស្រាវជ្រាវ ThreatFabric បានថ្លែងថា ដំបូងកម្មវិធីមើលទៅដូចជាល្អទេ។ តែទោះជាយ៉ាងណា រយៈពេល១សប្តាហ៍បន្ទាប់ពីនោះ នឹងមានបច្ចុប្បន្នភាពដែលមានបង្កប់កូដអាក្រក់។ ការធ្វើបច្ចុប្បន្នភាពនេះបានផ្លាស់ប្តូរមុខងារសេវាដំណើរការ ដែលបើកឱ្យមេរោគធ្វើសកម្មភាពអាក្រក់ដូចជាការចុចលើប៊ូតុងដោយស្វ័យប្រវត្តិនៅពេលវាទទួលការគណនាពី [Command-and-Control] Server។ អ្វីទៅគួរឱ្យកត់សម្គាល់ចំពោះកម្មវិធី (Dropper) គឺថា វាកេងចំណេញលើសេវាដំណើរការរបស់ Samsung Devices ដែលបញ្ជាក់ថា វាត្រូវបានបង្កើតឡើងសម្រាប់គោលដៅ Company-Made Handsets។ កម្មវិធីមេរោគនេះក៏មានសមត្ថភាពគេចពីការរឹតបន្តឹង (Restricted Setting) របស់ Android 13 ដោយការត្រាប់តាមដំណើរការរបស់ Marketplaces សម្រាប់ដំឡើងកម្មវិធីថ្មី ដោយគ្មានមុខងារសេវា (Service Funtinalities) Disabled ដូចដែលបានសង្កេតឃើញនៅក្នុងករណី Dropper Service ដូចជា SecuriDropper ជាដើម។

ជាងនេះកម្មវិធីមេរោគ (Dropper) ត្រូវបានសង្កេតឃើញពីការប្រើប្រាស់វិធីសាស្រ្តចម្រុះដើម្បីគេចពីការតាមចាប់រួមមានការដោនឡូត ការគណនា និង APK Payloads ពី C2 server ដែលបើកឱ្យហេគឃ័រផ្លាស់ប្តូរសមាសធាតុ (Components) នៅពេលពួកគេចង់បាន។ ThreatFabric បានថ្លែងថា ហេគឃ័រទាំងនេះផ្តោតលើការវាយប្រហារលើតំបន់ជាក់លាក់ជាជាងពង្រីកជាសកល បើយោងតាមដំណើរនៃការផ្លាស់ប្តូរ​របស់ពួកគេ។ វិធីសាស្រ្តគោលដៅទាំងនេះអាចឱ្យពួកគេផ្តោតលើចំនួនជាក់លាក់របស់ស្ថាប័នហិរញ្ញវត្ថុ ដែលអាចបណ្តាលឱ្យមានកំណើននៃករណីបំពាននៅក្នុងរយៈពេលដ៏ខ្លីបាន៕

https://thehackernews.com/2024/02/anatsa-android-trojan-bypasses-google.html

ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៩ ខែកុម្ភៈ ឆ្នាឱ២០២៤

LEAVE A REPLY

Please enter your comment!
Please enter your name here