កម្មវិធីរបស់ Android ក្លែងក្លាយជាង ៩០កម្មវិធី ត្រូវបានរកឃើញនៅលើ Google Play មានការដំឡើងជាង ៥,៥លានដង

0

កម្មវិធី​ (App) របស់ Android មានផ្ទុកមេរោគមិនតិចជាង ៩០ ត្រូវបានរកឃើញថាមានអ្នកដំឡើងមិនតិចជាង ៥.៥លានដង តាមរយៈ Google Play ដើម្បីបញ្ជូនមេរោគ (Malware និង Adware) ជាមួយនិងមេរោគធនាគារ Anatsa ដែលរកឃើញថាមានការសកម្មភាពយ៉ាងគំហុគនាពេលថ្មីៗនេះ។

មេរោគ​ Anatsa (aka “Teabot”) គឺជាមេរោគធនាគារដែលមានគោលដៅលើកម្មវិធីមិនតិចជាង ៦៥០ស្ថាប័នហិរញ្ញវត្ថុ នៅក្នុងប្រទេសអឺរ៉ុប អាមេរិក អង់គ្លេស និងអាស៊ី។ វាមានបំណងលួចអត្តសញ្ញាណធនាគារតាមអនឡាញ (E-Banking) ដើម្បីបន្លំផ្ទេរប្រាក់ចេញ។ កាលពីខែកុម្ភៈ ឆ្នាំ២០២៤ ក្រុមហ៊ុន Threat Fabric បានរាយការណ៍ថា តាំងពីឆ្នាំមុន មេរោគ Anatsa បានសម្រេចការងារចម្លងមេរោគមិនតិចជាង ១៥០ពាន់ដងតាមរយៈ Google Play ដោយប្រើកម្មវិធីក្លែងក្លាយផ្សេងៗនៅក្នុងតារាងបញ្ជីកម្មវិធីផលិត (Productivity Software)។

Anatsa dropper apps

នៅថ្ងៃនេះ ក្រុមហ៊ុន Zscaler បានរាយការណ៍ថា មេរោគ Anatsa បានត្រលប់ទៅហាងកម្មវិធីផ្លូវការរបស់ Android ហើយឥឡូវនេះមេរោគត្រូវបានចែកចាយតាមរយៈកម្មវិធីក្លែងបន្លំ៖ “PDF Reader & File Manager” និង “QR Reader & File Manager”។

Malware-loading steps

នៅក្នុងការវិភាគរបស់ក្រុមហ៊ុន Zscaler កម្មវិធីចំនួន២ មានអ្នកដំឡើងជាច្រើនរហូតដល់ទៅ ៧០ពាន់ដង ដែលបង្ហាញពីហានិភ័យខ្ពស់នៃកម្មវិធី Dropper អាក្រក់ជ្រៀតចូលតាមរយៈចន្លោះប្រហោង (Cracks) នៅក្នុងដំណើរការពិនិត្យរបស់ Google។ រឿងមួយដែលជួយមេរោគ Anatsa Dropper Apps គេចពីការតាមចាប់នោះគឺ Multi-Stage Payload ដែលពាក់ព័ន្ធនឹងយន្តការផ្ទុក ៤ជំហានផ្សេងៗគ្នា៖

– Dropper App ទទួលការគណនា និង Strings ពិសេសពី C2 Server

– DEX file មានផ្ទុក Dropper Code មេរោគត្រូវបានដោនឡូត និងដំណើរការនៅលើឧបករណ៍

– ឯកសារគណនាជាមួយមេរោគ Anatsa Payload URL ត្រូវបានដោនឡូត

– DEX file ចាប់យក និងដំឡើង Malware Payload (APK) ដែលជាការបញ្ចប់ដំណើរការចម្លងមេរោគ

DEX file ក៏ដំណើរការវិភាគប្រឆាំងដើម្បីធានាថាមេរោគនឹងមិនត្រូវបានដំណើរការនៅលើប្រអប់ការពារ Sandboxes ឬមជ្ឈដ្ឋានក្លែងបន្លំឡើយ។ នៅពេលមេរោគ Anatsa ដំណើរការនៅលើឧបករណ៍ឆ្លងមេរោគថ្មី វា Uploads ការកំណត់រចនាសម្ព័ន្ធ Bot និងលទ្ធផលស្គេន App ហើយបន្ទាប់មកដោនឡូតការចាក់បញ្ចូល ដែលត្រូវគ្នាជាមួយនឹងទីតាំង និងប្រវត្តិរូបរបស់ជនរងគ្រោះ។

ការគំរាមកំហែង Google Play ផ្សេងទៀត៖ ក្រុមហ៊ុន Zscaler រាយការណ៍ថា កាលពីពីរបីខែមុន ក្រុមហ៊ុនបានរកឃើញកម្មវិធីមេរោគជាង ៩០ នៅលើ Google Play ដែលត្រូវបានដំឡើងជាង ៥,៥លានដង។ កម្មវិធីមេរោគភាគច្រើនជាធូល (Tools) ក្លែងបន្លំ កម្មវិធីផ្ទាល់ខ្លួន (Personalization Apps) ឧបករណ៍ប្រើប្រាស់សម្រាប់ថតរូប ផលិតភាព កម្មវិធីសុខភាព និងកាយសម្បទា (Health & Fitness Apps)។ គ្រួសារមេរោគចំនួន ៥ ដែលគ្រប់គ្រងរួមមាន Joker, Facestealer, Anatsa, Coper និង Adware ផ្សេងៗ។

Data exchange between the malware and the C2

ទោះបីជាមេរោគ Anatsa និង Coper គ្របដណ្តប់ជាង ៣% នៃការដោនឡូតសរុបពី Google Play ក្តីពួកវាមិនសូវមានគ្រោះថ្នាក់ដូចជាមេរោគផ្សេងទេ តាមរយៈសមត្ថភាពនៃដំណើរការឆបោកនៅលើឧបករណ៍ និងលួចព័ត៌មានរបស់ពួកវានោះ។ នៅពេលដំឡើងកម្មវិធីថ្មីនៅលើ Google Play សូមពិនិត្យមើលការអនុញ្ញាតដែលបានស្នើសុំ ហើយបដិសេធចំពោះកម្មវិធីដែលពាក់ព័ន្ធជាមួយសកម្មភាពដែលមានគ្រោះថ្នាក់ខ្ពស់ ដូចជា Accessibility Service, SMS និងបញ្ជីទំនាក់ទំនងជាដើម។ អ្នកស្រាវជ្រាវមិនបានបង្ហាញឈ្មោះកម្មវិធីមេរោគទាំង ៩០នោះទេ និងថាតើពួកគេបានរាយការណ៍ទៅកាន់ក្រុមហ៊ុន Google ដើម្បីធ្វើការចុះបង្រ្កាប ឬយ៉ាងណានោះដែរ៕

https://www.bleepingcomputer.com/news/security/over-90-malicious-android-apps-with-55m-installs-found-on-google-play/

ប្រភពព័ត៌មាន៖ ថ្ងៃទី២៨ ខែឧសភា ឆ្នាំ២០២៤

LEAVE A REPLY

Please enter your comment!
Please enter your name here