មេរោគ Android trojan ឈ្មោះ SoumniBot ត្រូវបានរកឃើញថាមានគោលដៅលើអ្នកប្រើនៅប្រទេសកូរ៉េខាងត្បូង តាមរយៈការកេងចំណេញលើភាពទន់ខ្សោយនៅក្នុងការវិភាគ និងការតាមចាប់។ មេរោគកត់សម្គាល់លើគន្លឹះដែលងាយគេចពីការវិភាគ និងការរកឃើញ (Detective) ដែលជាភាពច្របូកច្របល់នៅក្នុង Android បើយោងតាមអ្នកស្រាវជ្រាវនៅ Kaspersky បានថ្លែងនៅក្នុងការវិភាគ។ កម្មវិធី Android ដែលត្រូវបានបង្កើតឡើងជាមួយ Manifest XML file (“AndroidManifest.xml”) មានទីតាំងនៅក្នុង root Directory និងការប្រកាស (Declares) សមាសធាតុផ្សេងៗរបស់កម្មវិធី (App) ក៏ដូចជាការអនុញ្ញាត ព្រមទាំងតម្រូវការរបស់ Hardware និង Software Features។
ហេគឃ័រស្វះស្វែងរកការវិភាគដោយការស៊ើបអង្កេតលើ Manifest File របស់ App ដើម្បីកំណត់ពីលក្ខណៈរបស់វា (Behavior) ហេគឃ័រនៅពីក្រោយមេរោគត្រូវបានស្វែងរក ដើម្បីជំរុញបច្ចេកទេសចំនួន៣ផ្សេងគ្នា និងដើម្បីដំណើរការជំនះលើបញ្ហាជាច្រើនទៀត។ វិធីសាស្រ្តទី១ ពាក់ព័ន្ធនឹងការប្រើ Invalid Compression Method Value នៅពេលបើក APK’s Manifest file ដែលប្រើ Libziparchive Library និងបានចាត់ទុកតម្លៃផ្សេងៗច្រើនជាង 0x0000 ឬក៏ 0x0008 ទៅជា Uncompressed។
អ្នកស្រាវជ្រាវបានពន្យល់ថា ការណ៍នេះបានអនុញ្ញាតឱ្យអ្នកអភិវឌ្ឍកម្មវិធីដាក់បញ្ចូលតម្លៃផ្សេងៗលើកលែងតែលេខ ៨ ចូលទៅក្នុង Compression Method និង White Uncompressed Data។ ទោះជា អ្នក Unpacker ដែលអនុវត្ត Compression Method Validation ត្រឹមត្រូវគួរតែចាត់ទុកថា Manifest ដូចជា Invalid ក្តីក៏ Android APK parser ទទួលស្គាល់វាថាត្រឹមត្រូវ និងអនុញ្ញាតឱ្យ Applications អាចធ្វើការដំឡើង (be installed)។ គួរកត់សម្គាល់នៅទីនេះដែរថា វិធីសាស្រ្តដែលត្រូវបានយកមកប្រើប្រាស់ដោយហេគឃ័រមានការសហការជាមួយមេរោគ Android Banking Trojans តាំងពីខែមេសា ឆ្នាំ២០២៣។ ជាងនេះទៀត មេរោគ SoumniBot អាចធ្វើការបំភាន់នូវ Archived Manifest file Size ដែលផ្តល់តម្លៃថាលើសតម្លៃពិត ជាលទ្ធផលរបស់ Uncompressed File ហើយត្រូវបានថតចម្លងដោយផ្ទាល់ជាមួយ Manifest Parser ដែលមិនខ្វល់ពីទិន្នន័យដែលត្រួតគ្នា (Overlay) នៅសល់ និងចាប់យកទំហំដែលនៅសល់ទាំងអស់ (Rest of Available Space)។ អ្នកស្រាវជ្រាវបានបន្តថា ឧបករណ៍ញែក (Stricter Manifest Parsers) មិនគួរអាចអានឯកសារដូចនេះទេ ផ្ទុយទៅវិញ ឧបករណ៍ញែក Android គួរតែជួយដល់ Invalid Manifest ដោយគ្មានបញ្ហាអ្វីទាំងអស់។ បច្ចេកទេសចុងក្រោយបានប្រើ Long XML Namespace ដែលបានដាក់ឈ្មោះនៅក្នុង Manifest File ដូច្នេះការធ្វើឱ្យវាខុសគ្នាសម្រាប់ Tool សម្រាប់ធ្វើការវិភាគ ដើម្បីបែងចែកអង្គចងចាំគ្រប់គ្រាន់លើដំណើរការ។ ជាងនេះ ឧបករណ៍ញែក Manifest Parser ក៏ត្រូវបានបង្កើតឡើងដោយមិនគិតពី Namespaces និងជាលទ្ធផល គ្មានកំហុស (no errors) ត្រូវបានលើកឡើងនៅពេល Handling File។ មេរោគ SoumniBot នៅពេលដាក់ចេញ វាស្នើសុំព័ត៌មានគណនា (Configuration Information) ពី Hard-Coded Server Address ពី Server ដែលប្រើសម្រាប់ផ្ញើទៅកាន់ទិន្នន័យដែលបានប្រមូល និងទទួល Commands ដែលប្រើ MQTT Messaging Protocol។ មេរោគនេះក៏ត្រូវបានបង្កើតឡើងសម្រាប់ដាក់ចេញសេវាអាក្រក់ ដើម្បីចាប់ផ្តើមដំណើរការ (Restarts) រៀងរាល់ ១៦នាទីម្តង ប្រសិនបើវាចាកចេញដោយហេតុផលណាមួយ និង Uploads ព័ត៌មានរៀងរាល់ ១៥នាទីម្តង។ ទាំងនេះរួមមាន Device Meatadata, Contact Lists, SMS Messages, Photos, Videos និងបញ្ជី Installed Apps។ មេរោគក៏មានសមត្ថភាពបន្ថែម (add) Delete Contacts, ផ្ញើសារ SMS Messages, បិទបើក Silent Mode, បើក Android’s Debug Mode ដោយមិនគិតពីការលាក់ app icon សម្រាប់ធ្វើឱ្យកាន់តែពិបាកក្នុងការ Uninstall មេរោគចេញពីឧបករណ៍ទេ។
មុខងារមួយដែលគួរឱ្យចាប់អារម្មណ៍របស់មេរោគ SoumniBot គឺសមត្ថភាពស្រាវជ្រាវ External Storage Media សម្រាប់ .key និង .der Files របស់វាដែលមានផ្ទុកនៅក្នុង Paths ដែលមានទីតាំង “/NPKI/yessign,” សំដៅដល់សេវា Digital Signature Certificate Service ដែលផ្តល់ដោយកូរ៉េខាងត្បូងសម្រាប់រដ្ឋាភិបាល (GPKI) ធនាគារ និងផ្សារហ៊ុនអនឡាញ (NPKI)។ ឯកសារទាំងនេះគឺជា Digital Certificates បានចេញដោយធនាគារកូរ៉េទៅឱ្យអតិថិជន និងប្រើសម្រាប់ Sign In ដើម្បីចូលប្រើប្រាស់សេវាកម្មរបស់ធនាគារអនឡាញ ឬបញ្ជាក់ពីប្រតិបត្តិការធនាគារ បើយោងតាមសំដីអ្នកស្រាវជ្រាវ។ តិចនិកនេះគឺពិតជាមិនទូទៅសម្រាប់មេរោគធនាគារ Android នោះទេ។ នៅដើមឆ្នាំនេះ ក្រុមហ៊ុនសន្តិសុខសាយប័រ S2W បានបង្ហាញលម្អិតពីយុទ្ធនាការមេរោគ Malware ដំណើរការដោយក្រុម Kimusuky ទាក់ទងនឹងកូរ៉េខាងជើង ដែលត្រូវបានបង្កើតឡើងដោយប្រើអញ្ញត្តិអ្នកលួចព័ត៌មាន Golang-Based ឈ្មោះ Troll Stealer សម្រាប់លួច GPKI Certificates ចេញពី Windows Systems។ អ្នកបង្កើតមេរោគ Malware ចេះទាញយកអត្ថប្រយោជន៍ជាច្រើនពីឧបករណ៍ដែលឆ្លងមេរោគ ដោយជនរងគ្រោះមិនដឹងខ្លួន បើយោងតាមអ្នកស្រាវជ្រាវ។ សមត្ថភាពនេះបានជំរុញឱ្យហេគឃ័រស្វែងរកវិធីសាស្រ្តថ្មីដើម្បីគេចពីការតាមចាប់។ ជាអកុសល អ្នកអភិវឌ្ឍមេរោគ SoumniBot បានទទួលជោគជ័យលើការរឹតបន្តឹងមិនគ្រប់គ្រាន់នៃសុពលភាពនៅក្នុង Android Manifest Parser Code។
នៅពេលស្នើសុំយោបល់ ក្រុមហ៊ុន Google បានប្រាប់សារព័ត៌មាន ថាវាមិនបានរកឃើញកម្មវិធីណាមួយមានផ្ទុកមេរោគ SoumniBot នៅលើ Google Pay Store សម្រាប់ Android នោះទេ។ អ្នកប្រើប្រាស់ Android ត្រូវបានការពារដោយស្វ័យប្រវត្តិប្រឆាំងនឹងមេរោគនេះដោយ Google Play Protect ដែលដំណើរការជា Default នៅលើឧបករណ៍ Android ជាមួយនឹងសេវា Google Play Services។ Google Play Protect នឹងធ្វើការព្រមានអ្នកប្រើប្រាស់ ឬបិទ Apps ណាមួយដែលមានបំណងអាក្រក់ នៅពេលដែលកម្មវិធីទាំងនោះមានប្រភពមកពីខាងក្រៅ Play Store៕
https://thehackernews.com/2024/04/new-android-trojan-soumnibot-evades.html
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៨ ខែមេសា ឆ្នាំ២០២៤
