មេរោគធនាគារ Medusa ដំណើរការលើប្រព័ន្ធ Android បានត្រលប់មកវិញ បន្ទាប់ពីបាត់ខ្លួនជិតមួយឆ្នាំ ឥឡូវមានគោលដៅលើប្រទេសបារាំង អាមេរិក កាណាដា អេស្បាញ អង់គ្លេស និងតួកគី។សកម្មភាពថ្មីត្រូវបានតាមដានតាំងពីខែឧសភា និងពឹងផ្អែកលើអញ្ញត្តិដែលទាមទារសិទ្ធិអនុញ្ញាត បូករួមទាំងមុខងារថ្មីនៅក្នុងគោលដៅដើម្បីចាប់ផ្តើមប្រតិបត្តិការផ្ទេរប្រាក់ (Transactions) ដោយផ្ទាល់ពីឧបករណ៍ដែលបានគ្រប់គ្រង។ មេរោគ Medusa ក៏ត្រូវបានគេស្គាល់ថាជា TeleBot គឺជាមេរោគធនាគារ (Trojan) ដែលជាប្រតិបត្តិការ Android Malware-as-a-Service (MaaS) បានរកឃើញកាលពីឆ្នាំ២០២០។ មេរោគ Malware បានផ្តល់នូវមុខងារ Keylogging, Screen Controls និងសារឆបោក (SMS Manipulation)។
ទោះជាមេរោគនេះមានឈ្មោះដូចគ្នា ប៉ុន្តែប្រតិបត្តិការវាខុសគ្នាពីក្រុមមេរោគចាប់ជម្រិត Ransomware និង Mirai-Based Botnet ដែលត្រូវបានប្រើសម្រាប់បែងចែងការវាយប្រហារ Denial-of-Service (DDoS)។ យុទ្ធនាការនាពេលថ្មីៗ ត្រូវបានរកឃើញដោយក្រុមស៊ើបការណ៍ទៅលើការគំរាមកំហែងនៅក្រុមហ៊ុនគ្រប់គ្រងការឆបោកអនឡាញ Cleafy ដែលនិយាយថា អញ្ញត្តិមេរោគមានភាពងាយស្រួល (Lighter) ដោយសារត្រូវការសិទ្ធិអនុញ្ញាតមួយចំនួនតូចនៅលើឧបករណ៍ និងរួមមាន Full-Screen Overlaying និងចាប់យក Screenshot ថែមទៀត។
យុទ្ធនាការចុងក្រោយ៖ ភស្តុតាងដំបូងរបស់អញ្ញតិ្តមេរោគ Medusa រកឃើញកាលពីខែកក្កដា ឆ្នាំ២០២៣ បើយោងតាមសំដីអ្នកស្រាវជ្រាវ។ ក្រុមហ៊ុន Cleafy បានសង្កេតឃើញមេរោគនេះនៅក្នុងយុទ្ធនាការដែលពឹងផ្អែកលើសារឆបោក (SMS Phishing (Smishing)) ដើម្បី Side-Load មេរោគ Malware តាមរយៈ Dropper Applications។ អ្នកស្រាវជ្រាវបានរកឃើញយុទ្ធនាការចំនួន ២៤ ដែលប្រើមេរោគនេះ និងចែកចាយមេរោគនេះទៅកាន់ Botnets ចំនួន៥ ផ្សេងទៀត (UNKN, AFETZEDE, ANAKONDA, PEMBE and TONY) សម្រាប់ការបញ្ជូនមេរោគ។ The UNKN Botnet ត្រូវបានដំណើរការដោយ Cluster របស់ហេគឃ័រដែលផ្តោតលើប្រទេសនៅអឺរ៉ុប ជាពិសេស បារាំង អ៊ីតាលី អេស្បាញ និងអង់គ្លេស។ Dropper Apps ថ្មីៗបានប្រើនៅក្នុងការវាយប្រហារទាំងនេះរួមមាន Chrome Browser ក្លែងក្លាយ (a 5G Connectivity App) និង Streaming App ក្លែងក្លាយឈ្មោះ 4K Sports។ នោះបង្ហាញថាហេគឃ័រនៅក្នុង UEFA EURO 2024 បច្ចុប្បន្នកំពុងជ្រើសយក 4K Sports Streaming App សម្រាប់ប្រើជានុយទាក់ទាញអ្នកប្រើ។ ក្រុមហ៊ុន Cleafy ផ្តល់អនុសាសន៍ថា គ្រប់យុទ្ធនាការ និង Botnets ទាំងអស់ត្រូវបានគ្រប់គ្រងដោយហេដ្ឋារចនាសម្ព័ន្ធស្នាក់ការកណ្តាលរបស់មេរោគ Medusa ដែលចាប់យក URLs ពី Command and Control (C2) Server និងពី Profiles បណ្តាញសង្គមសាធារណៈ។
អញ្ញត្តិមេរោគ Medusa ថ្មី៖ អ្នកបង្កើតមេរោគ Medusa Malware កាត់បន្ថយដាន (Footprint) នៅលើឧបករណ៍ដែលហេគឃ័របានគ្រប់គ្រង ឥឡូវការស្នើសុំគ្រាន់តែជាផ្នែកមួយតូចនៃការអនុញ្ញាត ប៉ុន្តែវានៅតែចាំបាច់សម្រាប់សេវា Accessibility របស់ Android។ មេរោគក៏មានសមត្ថភាពដំណើរការ Contact List របស់ជនរងគ្រោះ និងផ្ញើសារ SMS ដែលជាវិធីសាស្រ្តចែកចាយដ៏សំខាន់។
ការវិភាគរបស់ក្រុមហ៊ុន Cleafy បង្ហាញថា អ្នកបង្កើតមេរោគបានលុបចោលនូវ Commands ចំនួន១៧ ចេញពីជំនាន់មុនរបស់មេរោគ និងបន្ថែម Commands ថ្មីចំនួន៥ មកវិញរួមមាន៖
– Destroyo: លុប (Uninstall) កម្មវិធីជាក់លាក់
– Permdrawover: ស្នើសុំ “Drawing Over”
– Setoverlay: កំណត់ (set) a Black Screen Overlay
– Take_scr: ថតអេក្រង់ (Take a Screenshot)
– Update_scr: ធ្វើបច្ចុប្បន្នភាពព័ត៌មានអ្នកប្រើប្រាស់ (Update User Secret)
“Setoverlay” Command ត្រូវបានកត់សម្គាល់ថា វាអនុញ្ញាតឱ្យហេគឃ័រអាចធ្វើការបញ្ជាបានពីចម្ងាយដើម្បីដំណើរការដូចជា ការចាក់សោរ ឬបិទឧបករណ៍ (locked/Shut Off) ដើម្បីបិទបាំងសកម្មភាព ODF ដ៏អាក្រក់របស់ពួកគេ ដែលកើតឡើងនៅលើ Background។ សមត្ថភាពថ្មីដើម្បីចាប់យករូបថតអេក្រង់ (Screenshot) ក៏សំខាន់ដែរ ដែលឱ្យហេគឃ័រអាចលួចចាប់យកព័ត៌មានសម្ងាត់ពីឧបករណ៍ដែលឆ្លងមេរោគ។ ជារួមមក មេរោគធនាគារ Medusa ដំណើរការលើទូរស័ព្ទដៃ ទំនងជាពង្រីកទំហំគោលដៅ និងជាចោរលួច ដែលដាក់មូលដ្ឋានបន្ថែមទៀត និងបានធ្វើឱ្យចំនួនជនរងគ្រោះមានការកើនឡើងកាន់តែច្រើន។ ទោះជាក្រុមហ៊ុន Cleafy មិនបានសង្កេតពីការប្រើកម្មវិធី Dropper ណាមួយនៅលើ Google Play នៅឡើយ ខណៈពេលដែលចំនួនឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតកំពុងប្រើ MaaS មានការកើនឡើងនោះ ជាហេតុជំរុញឱ្យយុទ្ធសាស្រ្តនៃការចែកចាយមេរោគកាន់តែទំនើប៕
ប្រភពព័តឥមាន៖ ថ្ងៃទី២៥ ខែមិថុនា ឆ្នាំ២០២៤
