កម្មវិធីមេរោគស៊ើបការណ៍ Android ថ្មីរបស់កូរ៉េខាងជើង មានវត្តមាននៅក្នុង Google Play

0

មេរោគស៊ើបការណ៍ Android ថ្មីឈ្មោះ ‘KoSpy’ ជាប់ទាក់ទងនឹងហេគឃ័រកូរ៉េខាងជើង ដែលបានជ្រៀតចូលទៅក្នុង Google Play រួមទាំងកម្មវិធីភាគីទីបី App Store APKPure តាមរយៈកម្មវិធីព្យាបាទយ៉ាងហោចណាស់មានចំនួន ៥ ។

Malicious app on Google Play

យោងតាមអ្នកស្រាវជ្រាវ Lookout មេរោគស៊ើបការណ៍ត្រូវបានចែកចាយដោយក្រុមហេគឃ័រកូរ៉េខាងជើង APT37 (aka ‘ScarCruft’)។ យុទ្ធនាការនេះមានសកម្មភាពតាំងពីខែមីនា ឆ្នាំ២០២២ ជាមួយនឹងហេគឃ័រដែលអភិវឌ្ឍមេរោគយ៉ាងសកម្មដោយផ្អែកលើគម្រូថ្មី។ យុទ្ធនាការស៊ើបការណ៍មានគោលដៅបឋមលើជនជាតិកូរ៉េ និងអ្នកប្រើប្រាស់និយាយភាសាអង់គ្លេស ដោយការបន្លំខ្លួនវាជា File Managers ជាមុខងារសុវត្ថិភាព និងអ្នកធ្វើបច្ចុប្បន្នភាពកម្មវិធី។

Interface of KoSpy apps

កម្មវិធីទាំង៥ ដែលក្រុម Lookout បានកំណត់អត្តសញ្ញាណរួមមាន៖ Phone Manager, File Manger (Com.file.explorer), Smart Manager, Kakao Security និងឧបករណ៍ធ្វើបច្ចុប្បន្នភាពកម្មវិធី។ កម្មវិធីព្យាបាទផ្តល់នូវមុខងារដែលបានសន្យាយ៉ាងហោចណាស់១ ប៉ុន្តែតាមពិតមានផ្ទុកនូវមេរោគស៊ើបការណ៍ KoSpy នៅពីក្រោយ។ ករណីលើកលែងតែមួយគត់គឺសុវត្ថិភាព Kakao បង្ហាញប្រព័ន្ធ Windows ក្លែងក្លាយ ខណៈដែលស្នើសុំដំណើរការសិទ្ធិដ៏គ្រោះថ្នាក់។ យុទ្ធនាការត្រូវបានចែកចាយដោយក្រុម APT37 ដោយផ្អែកលើអាសយដ្ឋាន IP ដែលជាប់ទាក់ទងនឹងប្រតិបត្តិការកូរ៉េខាងជើង Domain ដែលបានសម្របសម្រួលការចែកចាយរបស់មេរោគ Konni និងហេដ្ឋារចនាសម្ព័ន្ធដែលដូចគ្នានឹងក្រុម APT43 គឺជាក្រុមហេគឃ័រដែលគាំទ្រដោយ DPRK ផ្សេងទៀត។

លម្អិតពីក្រុម KoSpy៖ នៅពេលប្រតិបត្តិការលើឧបករណ៍ KoSpy ទាញយកឯកសារ Configuration ដែលបានអ៊ីនគ្រីបពី Firebase Firestore database ដើម្បីគេចពីការតាមចាប់។ ក្រោយមក វាបានភ្ជាប់ទៅកាន់ម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយហេគឃ័រ និងដំណើរការត្រួតពិនិត្យដើម្បីធានាថា វាមិនត្រាប់តាមកម្មវិធី (Emulator)។ មេរោគអាចទាញយកការកំណត់ដែលបានធ្វើបច្ចុប្បន្នភាពពី C2 ដែលបន្ថែម Payloads សម្រាប់ប្រតិបត្តិការ និងអាចបើក ឬបិទដំណើរការតាមរយៈការចុចប៊ូតុងបើក ឬបិទ (on/off)។ សមត្ថភាពប្រមូលទិន្នន័យរបស់មេរោគ KoSpy រួមមាន៖

– ស្ទាក់ចាប់សារ SMS និង Call Logs

– តាមដានទីតាំង GPS របស់ជនរងគ្រោះនៅពេលជាក់លាក់

– ប្រើ Microphone របស់ឧបករណ៍ ដើម្បីថតសំឡេងទុក

– អាន និងលួចឯកសារពីទីតាំងរក្សាទិន្នន័យក្នុងតំបន់

– ប្រើម៉ាស៊ីនថតរបស់ឧបករណ៍ ដើម្បីថតរូប និងវីដេអូ

– ចាប់យករូបថតអេក្រង់ របស់ Device Display

– កត់ត្រា Keystrokes តាមរយៈសេវា Android Accessibility

កម្មវិធីនីមួយៗប្រើ Firebase Project ផ្សេងពីគ្នា និង C2 Server សម្រាប់លួចយកទិន្នន័យ ដែលត្រូវបានអ៊ីនគ្រីបជាមួយនឹង Hardcoded AES key Prior សម្រាប់ការបញ្ជូន។ បើទោះជា កម្មវិធីស៊ើបការណ៍ ឥឡូវនេះ ត្រូវបានលុបចេញពី Google Play និង APKPure ក្តី អ្នកប្រើប្រាស់នៅតែត្រូវការ Uninstall កម្មវិធីនេះចេញ និងស្គេនរកមើលមុខងារ (Tool) សុវត្ថិភាពដើម្បីលុបសំណល់នៃការឆ្លងមេរោគចេញពីឧបករណ៍របស់ពួកគេ។ ក្នុងករណីធ្ងន់ធ្ងរ អ្នកប្រើប្រាស់គួរតែកំណត់ឡើងវិញ (Reset)។ Google Play Protect ក៏អាចរារាំងកម្មវិធីព្យាបាទដែលមាននៅក្នុងតារាងបានដែរ ដូច្នេះ ការធ្វើបច្ចុប្បន្នភាពឧបករណ៍ Android របស់អ្នកឱ្យទាន់សម័យអាចជួយការពារប្រឆាំងនឹងមេរោគ KoSpy បាន។ អ្នកនាំពាក្យក្រុមហ៊ុន Google បានណែនាំថា កម្មវិធី KoSpy ទាំងអស់ដែលត្រូវបានកំណត់អត្តសញ្ញាណដោយក្រុម Lookout ត្រូវបានលុបចេញពី Google Play និងថាគម្រោង Firebase ដែលដូចគ្នាក៏ត្រូវបានដកចេញផងដែរ។

https://www.bleepingcomputer.com/news/security/new-north-korean-android-spyware-slips-onto-google-play/

ប្រភពព័ត៌មាន៖ ថ្ងៃទី១២ ខែមីនា ឆ្នាំ២០២៥

LEAVE A REPLY

Please enter your comment!
Please enter your name here