មេរោគ Android ឈ្មោះ Ratel RAT ត្រូវបានដាក់ពង្រាយដោយឧក្រិដ្ឋជនចម្រុះដើម្បីវាយប្រហារលើឧបករណ៍ដែលមិនបានធ្វើបច្ចុប្បន្នភាព ក្នុងគោលបំណងបិទ (Lock Down) ឧបករណ៍ទាំងនោះដោយប្រើមេរោគចាប់ជម្រិតទារប្រាក់នៅលើ Telegram។
អ្នកស្រាវជ្រាវនៅ Check Point បានរកឃើញយុទ្ធនាការមិនតិចជាង១២០ករណី ទេដែលប្រើមេរោគ Ratel RAT។ ហេគឃ័រប្រើយុទ្ធនាការខ្លះដូចក្រុម APT-C-35 (DoNot Team) ហើយខ្លះទៀតត្រូវបានកំណត់ថាជាស្នាដៃរបស់ Iran និង Pakistan។
សម្រាប់គោលដៅ ក្រុមហ៊ុន Check Point លើកឡើងថាគោលដៅភាគច្រើនជាស្ថាប័នល្បីៗ រួមមាននៅក្នុងជួររដ្ឋាភិបាល និងវិស័យយោធា ដែលជនរងគ្រោះភាគច្រើនមកពីប្រទេសអាមេរិក ចិន និងឥណ្ឌូនេស៊ី។ ចំពោះការចម្លងមេរោគ Check Point បានកំណត់ថា ជនរងគ្រោះប្រើកម្មវិធី Android ជំនាន់ចាស់ដែលផុតកាលកំណត់ (EoL) និងមិនបានធ្វើបច្ចុប្បន្នភាពសុវត្ថិភាព ជាហេតុបណ្តាលឱ្យហេគឃ័រអាចធ្វើការកេងចំណេញលើបញ្ហាទាំងនោះបាន។ បញ្ហាទាំងនោះភាគច្រើនកើតមាននៅលើទូរស័ព្ទដែលប្រើប្រាស់ប្រព័ន្ធប្រតិបត្តិការ Android Versions 11 និងចាស់ជាងនេះ មានរហូតដល់ទៅជាង ៨៧,៥% នៃអ្នកប្រើសរុប។ នៅក្នុងនោះក៏មានតែចំនួន ១២,៥% ទេដែលឆ្លងមេរោគលើឧបករណ៍ដំណើរការ Android 12 ឬក៏ Android 13។ សម្រាប់ម៉ាក និងម៉ូឌែលគោលដៅ មានឧបករណ៍ចម្រុះរួមមាន Samsung Galaxy, Google Pixel, Xiaomi Redmi, Motorola One, រួមមានឧបករណ៍មកពី OnePlus, Vivo និង Huawei ផងដែរ។ រឿងនេះបង្ហាញថាមេរោគ Ratel RAT គឺជាឧបករណ៍វាយប្រហារដ៏មានប្រសិទ្ធភាពប្រឆាំងនឹងបន្តុំនៃការប្រើប្រាស់ Android ចម្រុះភាព។
ការវាយប្រហារមេរោគ Ratel RAT៖ មេរោគ Ratel RAT ត្រូវបានពង្រីកតាមរយៈមធ្យោបាយផ្សេងៗ ប៉ុន្តែហេគឃ័រទំនងជាបានកេងចំណេញដោយបន្លំជាក្រុមហ៊ុនល្បីៗដូចជា Instagram, WhatsApp, e-commerce platforms ឬកម្មវិធីកម្ចាត់មេរោគដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យដោនឡូត APKs ក្លែងក្លាយ។ នៅពេលដំឡើងកម្មវិធី វាទៀមទារសិទ្ធិដើម្បីអាចដំណើរការលើ Background។ នៅក្នុងនោះរួមមាន Commands ជាច្រើនដែល Support ការងារផ្សេងៗតាមតម្រូវការ ដែលសំខាន់អាស្រ័យលើផលប៉ះពាល់របស់ពួកគេដូចជា៖
– Ransomware: ចាប់ផ្តើមដំណើរការ File Encryption នៅលើឧបករណ៍
– Wipe: លុបឯកសារទាំងអស់នៅលើ Path ជាក់លាក់
– LockTheScreen: Locks Screen ឧបករណ៍ ធ្វើឱ្យឧបករណ៍មិនអាចដំណើរការបាន
– Sms_oku: បើកចំហសារ SMS ទាំងអស់ (និងកូដ 2FA) ទៅឱ្យ Command និង Control (C2) Server
-Location_Tracker: បើកចំហទីតាំង Live Device ទៅកាន់ C2 Server
សកម្មភាពទាំងអស់ត្រូវបានគ្រប់គ្រងពី Central Panel ដែលជាកន្លែងហេគឃ័រអាចចូលប្រើឧបករណ៍ និងព័ត៌មានផ្ទាល់ខ្លួនរបស់ជនរងគ្រោះ (Status Information) និងសម្រេចចិត្តវាយប្រហារនៅជំហានបន្ទាប់។ យោងតាមការវិភាគ Check Point ករណីនៃការវាយប្រហារដោយ Command មេរោគចាប់ជម្រិតមានប្រមាណជា ១០% ។
ការវាយប្រហារដោយមេរោគចាប់ជម្រិត៖ Ransomware Module នៅក្នុងមេរោគ Ratel RAT ត្រូវបានបង្កើតឡើងសម្រាប់ប្រតិបត្តិការជម្រិតទារប្រាក់ដោយគ្រប់គ្រងលើឧបករណ៍របស់ជនរងគ្រោះ និងការអ៊ីនគ្រីបលើឯកសារដោយប្រើ Pre-defined AES Key។ ប្រសិនបើ DeviceAdmin Privileges ត្រូវបានរក្សានៅលើឧបករណ៍ មេរោគចាប់ជម្រិតអាចគ្រប់គ្រងលើមុខងារឧបករណ៍សំខាន់ៗដូចជាលទ្ធភាពផ្លាស់ប្តូរ Lock-Screen Password និងបន្ថែម Custom Message នៅលើអេក្រង់ ដែលជាទូទៅជាសារជម្រិតទារប្រាក់។ ប្រសិនបើអ្នកប្រើប្រាស់មានបំណងដកសិទ្ធិពី Admin មេរោគចាប់ជម្រិតអាចប្រតិកម្មដោយការផ្លាស់ប្តូរលេខសម្ងាត់ និង Lock Screen ភ្លាមៗ។
អ្នកស្រាវជ្រាវនៅ Check Point បានសង្កេតឃើញប្រតិបត្តិការនៃការជម្រិតទារប្រាក់មួយចំនួនទាក់ទងនឹងមេរោគ Ratel RAT រួមមានការវាយប្រហារចេញពីប្រទេស Iran ដែលលួចយកការណ៍ដោយប្រើសមត្ថភាពផ្សេងៗរបស់មេរោគ Ratel RAT មុននឹងដំណើរការ Encryption Module។ អ្នកវាយប្រហារលុបចោល Call History ប្តូរ Wallpaper សម្រាប់បង្ហាញ Custom Message បិទ (Locked) Screen ដាក់ឧបករណ៍ឱ្យញ័រ (Device Vibration) និងផ្ញើសារ SMS ដែលមានសារចាប់ជម្រិត ព្យាយាមជំរុញឱ្យជនរងគ្រោះផ្ញើសារទៅឧក្រិដ្ឋជននៅលើ Telegram ដើម្បីដោះស្រាយបញ្ហា។ ដើម្បីទប់់ស្កាត់ការវាយប្រហារ សូមជៀសវាង APK Downloads ចេញពីប្រភពដែលមិនទុកចិត្ត កុំចុចលើ URLs ដែលបង្កប់ ឬផ្ញើនៅក្នុងអ៊ីម៉ែល ឬសារ SMS និងស្គេនកម្មវិធី (Apps) ជាមួយនឹង Play Protect មុននឹងដាក់បញ្ចូល (Launch) កម្មវិធីទាំងនោះ៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី២២ ខែមិថុនា ឆ្នាំ២០២៤
