ហេគឃ័រនៅពីក្រោយមេរោគធនាគារ PixPirate Android Banking Trojan កំពុងតែស្វែងរកល្បិចថ្មីដើម្បីគេចពីការតាមចាប់ក្នុងការព្យាយាមសម្របសម្រួលដើម្បីអាចគ្រប់គ្រងលើឧបករណ៍ ព្រមទាំងប្រមូលព័ត៌មានសម្ងាត់ពីអ្នកប្រើប្រាស់នៅប្រទេសប្រេស៊ីល។
មេរោគនេះអាចលាក់ខ្លួន (Malicious App’s Icon) ពីលើអេក្រង់ដំបូង (Home Screen) របស់ឧបករណ៍ជនរងគ្រោះ បើយោងតាមក្រុមហ៊ុន IBM បានរាយការណ៍កាលពីប៉ុន្មានថ្ងៃមកនេះ។ អ្នកស្រាវជ្រាវ Nir Somech បានថ្លែងថា អរគុណចំពោះល្បិចថ្មី នៅពេលមេរោគ PixPirate យកការណ៍ និងវាយប្រហារ ជនរងគ្រោះមិនបានដឹងខ្លួនពីការវាយប្រហាររបស់មេរោគនេះទេ។ មេរោគ PixPirate ត្រូវបានរកឃើញកាលពីខែកុម្ភៈ ឆ្នាំ២០២៣ ដោយក្រុមហ៊ុន Cleafy ល្បីថាពូកែកេងចំណេញលើសេវា Accessibility របស់ Android ដើម្បីផ្ទេរប្រាក់ដោយសម្ងាត់នៅលើផ្លេតហ្វមទូទាត់ភ្លាមៗ PIX នៅពេលដែលធនាគារគោលដៅត្រូវបានបើក (Banking App Is Opened)។ ជាងនេះទៀត មេរោគនេះមានសមត្ថភាពក្នុងការលួចយកអត្តសញ្ញាណធនាគារអនឡាញរបស់ជនរងគ្រោះ និងព័ត៌មានក្រេឌីតកាត ក៏ដូចជាចាប់យក Keystrokes និងស្ទាក់ចាប់សារ SMS ដើម្បីទទួលបានកូដផ្ទៀងផ្ទាត់ (2FA) ។
មេរោគនេះត្រូវបានចែកចាយតាមរយៈសារ SMS និង WhatsApp ហេគឃ័រប្រើកម្មវិធី Dropper (Aka Downloader) ដែលត្រូវបានបង្កើតឡើងសម្រាប់ដាក់ពង្រាយ Main Payload (aka droppee) ដើម្បីអាចលួចផ្ទេរប្រាក់។ ជាទូទៅ Downloader ត្រូវបានប្រើសម្រាប់ការដោនឡូត និងដំឡើង Droppee ហើយបន្ទាប់មក Droppee គឺជាតួអង្គសំខាន់ដែលនឹងដំណើរការឆបោក រីឯ Downloader មិនពាក់ព័ន្ធទេ បើយោងតាមសំដីលោក Somech។ នៅក្នុងករណីមេរោគ PixPirate វិញ Downloader ទទួលខុសត្រូវមិនត្រឹមតែដោនឡូត និងដំឡើង Droppee ប៉ុណ្ណោះទេ ថែមទាំងដំណើរការ និងប្រតិបត្តិការ Droppee ថែមទៀត។ Downloader ធ្វើការមួយផ្នែកនៅក្នុងសកម្មភាពឆបោករបស់ Droppee ខណៈដែលពួកវាទាំងពីរមានទំនាក់ទំនងជាមួយគ្នា និងផ្ញើពាក្យបញ្ជា (Command) ដើម្បីប្រតិបត្តិការ។ កម្មវិធី Downloader APK នៅពេលចាប់ផ្តើមដំណើរការ វាជំរុញឱ្យជនរងគ្រោះធ្វើបច្ចុប្បន្នភាពកម្មវិធីដើម្បីទទួលបាន PixPirate Component ពីម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយហេគឃ័រ ឬដំឡើងមេរោគប្រសិនបើវាបានបង្កប់ខ្លួនរួចជាស្រេច។
អ្វីដែលត្រូវបានធ្វើការផ្លាស់ប្តូរនៅក្នុងជំនាន់ចុងក្រោយរបស់ Droppee គឺអវត្តមាននៃសកម្មភាពនៅពេលធ្វើសកម្មភាព (Absence of Activity With the Action) “android.intent.action.Main” និង Category “android.intent.category.LAUNCHER” ដែលអនុញ្ញាតឱ្យអ្នកប្រើចាប់ផ្តើមដំណើរការកម្មវិធីពីលើអេក្រង់ដំបូង (Home Screen) ដោយត្រូវចុចលើ Icon។ ភាពខុសគ្នានោះគឺ ខ្សែច្រវាក់នៃការចម្លងមេរោគតម្រូវឱ្យមានទាំង Downloader និង Droppee ធ្វើការឆ្លាស់គ្នា (Tandem) ជាមួយនឹងអតីតភាពនៃការទទួលខុសត្រូវសម្រាប់ដំណើរការ PixPirate APK ដោយភ្ជាប់ទៅនឹងសេវានាំចេញដោយ Droppee។ Somech បានថ្លែងថា ក្រោយមក ដើម្បីរក្សាវត្តមានបាន Droppee ក៏ត្រូវបានជំរុញឱ្យដំណើរការដោយអ្នកទទួលផ្សេង (Receivers) ដែលវាបានចុះបញ្ជី (Registered)។ អ្នកទទួលត្រូវបានកំណត់ឱ្យដំណើរការ (Activated) ផ្អែកលើព្រឹត្តិការណ៍ផ្សេងៗ ដែលកើតមាននៅក្នុងប្រព័ន្ធ និងមិនចាំបាច់តម្រូវឱ្យ Downloader ជំរុញ Droppee ឱ្យដំណើរការនោះទេ។ បច្ចេកទេសនេះអនុញ្ញាតឱ្យមេរោគ PixPirate Droppee អាចដំណើរការ និងលាក់វត្តមានខ្លួនបាន បើទោះជាជនរងគ្រោះលុបមេរោគ PixPirate Downloader ចេញពីឧបករណ៍ក្តី។
ក្រៅពីនោះ ធនាគារអាមេរិកឡាទីន (LATAM) បានក្លាយជាគោលដៅរបស់មេរោគថ្មីឈ្មោះ Fakext ដែលត្រូវបានប្រើ Microsoft Edge Extension ឈ្មោះ SATiD ដើម្បីបញ្ជូន Man-in-the-Browser និង web Injection Attacks ក្នុងគោលដៅចាប់យកអត្តសញ្ញាណដើម្បីចូលទៅកាន់គេហទំព័រធនាគារគោលដៅ។ គួរកត់សម្គាល់ដែរថា SAT ID គឺជាសេវាដែលបានត្រូវបានផ្តល់ដោយ Mexicon’s Tax Administration Service (SAT) សម្រាប់បង្កើត (Generate) និងធ្វើបច្ចុប្បន្នភាពហត្ថលេខាអេឡិចត្រូនិកសម្រាប់ការបង់ពន្ធអនឡាញ (Filing Taxes Online)។ នៅក្នុងករណីនេះ មេរោគ Fakext ត្រូវបានបង្កើតឡើងសម្រាប់បង្ហាញ Overlay ដែលបញ្ឆោតជនរងគ្រោះឱ្យដោនឡូតឧបករណ៍ដំណើរការបញ្ជាពីចម្ងាយស្របច្បាប់ (Legitimate Remote Access Tool) ដោយសន្មតថាជាក្រុមគាំទ្រផ្នែកបច្ចេកវិទ្យារបស់ធនាគារ ប៉ុន្តែទីបំផុតវាអាចឱ្យហេគឃ័រប្រព្រឹត្តបទល្មើសផ្នែកហិរញ្ញវត្ថុបាន។ យុទ្ធនាការឆបោកកើតមានតាំងពីខែវិច្ឆិកា ឆ្នាំ២០២៣ មានគោលដៅលើធនាគារចំនួន ១៤ នៅក្នុងតំបន់ ជាពិសេសមានទីតាំងនៅប្រទេសម៉ិចស៊ិកកូ៕
https://thehackernews.com/2024/03/pixpirate-android-banking-trojan-using.html
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៣ ខែមីនា ឆ្នាំ២០២៤
