មេរោគធនាគារថ្មីឈ្មោះ ‘DroidBot’ មានបំណងលួចអត្តសញ្ញាណពីកម្មវិធីប្តូរប្រាក់គ្រីបតូ និងកម្មវិធីធានាគារចំនួន ៧៧ នៅក្នុងចក្រភពអង់គ្លេស អ៊ីតាលី បារាំង អេស្បាញ និងប៉ទុយហ្គាល់។
យោងតាមអ្នកស្រាវជ្រាវ Cleafy បានរកឃើញមេរោគ Android Malware ថ្មីឈ្មោះ DroidBot មានសកម្មភាពតាំងពីខែមិថុនា ឆ្នាំ២០២៤ និងប្រតិបត្តិការផ្លេតហ្វម Malware-as-a-service (MaaS) ដែលលក់ធូល (Tool) ក្នុងតម្លៃ ៣០០០ដុល្លារក្នុងមួយខែ។ យ៉ាងហោចណាស់មានក្រុមសាខាចំនួន ១៧ ដែលត្រូវបានកំណត់ថាប្រើប្រាស់មេរោគថ្មីនេះដើម្បីប្តូរ Payloads របស់ពួកគេសម្រាប់គោលដៅជាក់លាក់។
ទោះជាមេរោគ DroidBot ខ្វះមុខងារលួងលោម ឬភាពស្មុគស្មាញ បើតាមការវិភាគរបស់ Botnets បានបង្ហាញថា មានការចម្លងមេរោគចំនួន ៧៧៦ករណី នៅទូទាំងចក្រភពអង់គ្លេស អ៊ីតាលី បារាំង តួកគី និងអាឡឺម៉ង់បានបង្ហាញពីសកម្មភាពដ៏សំខាន់។ ជាងនេះ Cleafy បានថ្លែងថា មេរោគក៏លេចឡើងក្រោមការអភិវឌ្ឍដ៏អស្ចារ្យនៅពេលនេះជាមួយនឹងសញ្ញានៃការប៉ុនប៉ងពង្រីកខ្លួនទៅកាន់តំបន់ថ្មីរួមទាំងអាមេរិកឡាទីន។
ប្រតិបត្តិការ DroidBot MaaS: អ្នកអភិវឌ្ឍមេរោគ DroidBot ដែលបង្ហាញជាភាសាតួកគី ផ្តល់ឱ្យសាខានូវ Tools ទាំងអស់ដែលប្រើប្រាស់សម្រាប់ការវាយប្រហារ។ នេះរួមមានអ្នកបង្កើតមេរោគ ម៉ាស៊ីនមេ Command and Control (C2) និង Central Administration Panel ដែលពួកគេអាចគ្រប់គ្រងប្រតិបត្តិការរបស់ពួកគេ ទាញយកទិន្នន័យដែលបានលួច និងប្រើប្រាស់បញ្ហាពាក្យបញ្ជា (Issue Commands)។
ក្លែងធ្វើជាកម្មវិធីពេញនិយម៖ មេរោគ DroidBot ជាទូទៅបន្លំជា Google Chrome, Google Play Store, ឬ‘Android Security’ ជាមធ្យោបាយសម្រាប់បញ្ឆោតអ្នកប្រើប្រាស់ឱ្យដំឡើងកម្មវិធីមេរោគ។ ទោះជាយ៉ាងណា ករណីទាំងនេះ វាដើរតួជាមេរោគ Trojan ដែលមានបំណងលួចព័ត៌មានសម្ងាត់ពីកម្មវិធីទាំងនោះ។
មុខងារចម្បងរបស់មេរោគគឺ៖
– Keylogging: ចាប់យករាល់ Keystrokes ដែលបានចុចដោយជនរងគ្រោះ
– Overlaying: បង្ហាញទំព័រលុកចូល (login) ក្លែងក្លាយលើផ្ទៃកម្មវិធីធនាគារស្របច្បាប់
– SMS interception: ចាប់យកសារ SMS ដែលផ្ញើចូល ជាពិសេសសារដែលមានលេខសម្ងាត់ One-Time Passwords (OTPs) សម្រាប់ចូល (Sign-Ins) កម្មវិធីធនាគារ
– Virtual Network Computing: VNC Module ផ្តល់ឱ្យក្រុមសាខានូវសមត្ថភាពមើល និងគ្រប់គ្រងឧបករណ៍ដែលឆ្លងមេរោគពីចម្ងាយ ប្រតិបត្តិការពាក្យបញ្ជា និងបិទបាំងអេក្រង់ដើម្បីលាក់បាំងសកម្មភាពអាក្រក់។
ទិដ្ឋភាពសំខាន់នៃប្រតិបត្តិការមេរោគ DroidBot គឺការបំពានលើសេវាងាយស្រួលរបស់ Android ដើម្បីតាមដានសកម្មភាពរបស់អ្នកប្រើប្រាស់ និងបន្លំការអូស (swipes) និងការប៉ះ (Taps) ក្នុងនាមជាមេរោគ។ ដូច្នេះ ប្រសិនបើអ្នកដំឡើងកម្មវីធីដែលស្នើសុំការអនុញ្ញាតចម្លែកៗ ដូចជា Accessibility Services អ្នកគួរតែសង្ស័យភ្លាម និងបដិសេធចំពោះសំណើបែបនេះ។ នៅក្នុងចំណោមស្ថាប័នចំនួន ៧៧ កម្មវិធីមេរោគ DroidBot មានបំណងលួចអត្តសញ្ញាណពីស្ថាប័ន Binance, KuCoin, BBVA, Unicredit, Santander, Metamask, BNP Paribas, Credit Agricole, Kraken និង Garanti BBVA។
ដើម្បីកាត់បន្ថយការគំរាមកំហែងនេះ អ្នកប្រើប្រាស់ Android ត្រូវបានណែនាំឱ្យដោនឡូតកម្មវិធីចេញពី Google Play ពិនិត្យមើលសំណើ អនុញ្ញាតនៅពេលដំឡើង ហើយត្រូវប្រាកដថា Play Protect ដំណើរការនៅលើឧបករណ៍របស់ពួកគេ៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៤ ខែធ្នូ ឆ្នាំ២០២៤
