មេរោគស៊ើបការណ៍ Android ថ្មីឈ្មោះ ‘KoSpy’ ជាប់ទាក់ទងនឹងហេគឃ័រកូរ៉េខាងជើង ដែលបានជ្រៀតចូលទៅក្នុង Google Play រួមទាំងកម្មវិធីភាគីទីបី App Store APKPure តាមរយៈកម្មវិធីព្យាបាទយ៉ាងហោចណាស់មានចំនួន ៥ ។

យោងតាមអ្នកស្រាវជ្រាវ Lookout មេរោគស៊ើបការណ៍ត្រូវបានចែកចាយដោយក្រុមហេគឃ័រកូរ៉េខាងជើង APT37 (aka ‘ScarCruft’)។ យុទ្ធនាការនេះមានសកម្មភាពតាំងពីខែមីនា ឆ្នាំ២០២២ ជាមួយនឹងហេគឃ័រដែលអភិវឌ្ឍមេរោគយ៉ាងសកម្មដោយផ្អែកលើគម្រូថ្មី។ យុទ្ធនាការស៊ើបការណ៍មានគោលដៅបឋមលើជនជាតិកូរ៉េ និងអ្នកប្រើប្រាស់និយាយភាសាអង់គ្លេស ដោយការបន្លំខ្លួនវាជា File Managers ជាមុខងារសុវត្ថិភាព និងអ្នកធ្វើបច្ចុប្បន្នភាពកម្មវិធី។

កម្មវិធីទាំង៥ ដែលក្រុម Lookout បានកំណត់អត្តសញ្ញាណរួមមាន៖ Phone Manager, File Manger (Com.file.explorer), Smart Manager, Kakao Security និងឧបករណ៍ធ្វើបច្ចុប្បន្នភាពកម្មវិធី។ កម្មវិធីព្យាបាទផ្តល់នូវមុខងារដែលបានសន្យាយ៉ាងហោចណាស់១ ប៉ុន្តែតាមពិតមានផ្ទុកនូវមេរោគស៊ើបការណ៍ KoSpy នៅពីក្រោយ។ ករណីលើកលែងតែមួយគត់គឺសុវត្ថិភាព Kakao បង្ហាញប្រព័ន្ធ Windows ក្លែងក្លាយ ខណៈដែលស្នើសុំដំណើរការសិទ្ធិដ៏គ្រោះថ្នាក់។ យុទ្ធនាការត្រូវបានចែកចាយដោយក្រុម APT37 ដោយផ្អែកលើអាសយដ្ឋាន IP ដែលជាប់ទាក់ទងនឹងប្រតិបត្តិការកូរ៉េខាងជើង Domain ដែលបានសម្របសម្រួលការចែកចាយរបស់មេរោគ Konni និងហេដ្ឋារចនាសម្ព័ន្ធដែលដូចគ្នានឹងក្រុម APT43 គឺជាក្រុមហេគឃ័រដែលគាំទ្រដោយ DPRK ផ្សេងទៀត។
លម្អិតពីក្រុម KoSpy៖ នៅពេលប្រតិបត្តិការលើឧបករណ៍ KoSpy ទាញយកឯកសារ Configuration ដែលបានអ៊ីនគ្រីបពី Firebase Firestore database ដើម្បីគេចពីការតាមចាប់។ ក្រោយមក វាបានភ្ជាប់ទៅកាន់ម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយហេគឃ័រ និងដំណើរការត្រួតពិនិត្យដើម្បីធានាថា វាមិនត្រាប់តាមកម្មវិធី (Emulator)។ មេរោគអាចទាញយកការកំណត់ដែលបានធ្វើបច្ចុប្បន្នភាពពី C2 ដែលបន្ថែម Payloads សម្រាប់ប្រតិបត្តិការ និងអាចបើក ឬបិទដំណើរការតាមរយៈការចុចប៊ូតុងបើក ឬបិទ (on/off)។ សមត្ថភាពប្រមូលទិន្នន័យរបស់មេរោគ KoSpy រួមមាន៖
– ស្ទាក់ចាប់សារ SMS និង Call Logs
– តាមដានទីតាំង GPS របស់ជនរងគ្រោះនៅពេលជាក់លាក់
– ប្រើ Microphone របស់ឧបករណ៍ ដើម្បីថតសំឡេងទុក
– អាន និងលួចឯកសារពីទីតាំងរក្សាទិន្នន័យក្នុងតំបន់
– ប្រើម៉ាស៊ីនថតរបស់ឧបករណ៍ ដើម្បីថតរូប និងវីដេអូ
– ចាប់យករូបថតអេក្រង់ របស់ Device Display
– កត់ត្រា Keystrokes តាមរយៈសេវា Android Accessibility
កម្មវិធីនីមួយៗប្រើ Firebase Project ផ្សេងពីគ្នា និង C2 Server សម្រាប់លួចយកទិន្នន័យ ដែលត្រូវបានអ៊ីនគ្រីបជាមួយនឹង Hardcoded AES key Prior សម្រាប់ការបញ្ជូន។ បើទោះជា កម្មវិធីស៊ើបការណ៍ ឥឡូវនេះ ត្រូវបានលុបចេញពី Google Play និង APKPure ក្តី អ្នកប្រើប្រាស់នៅតែត្រូវការ Uninstall កម្មវិធីនេះចេញ និងស្គេនរកមើលមុខងារ (Tool) សុវត្ថិភាពដើម្បីលុបសំណល់នៃការឆ្លងមេរោគចេញពីឧបករណ៍របស់ពួកគេ។ ក្នុងករណីធ្ងន់ធ្ងរ អ្នកប្រើប្រាស់គួរតែកំណត់ឡើងវិញ (Reset)។ Google Play Protect ក៏អាចរារាំងកម្មវិធីព្យាបាទដែលមាននៅក្នុងតារាងបានដែរ ដូច្នេះ ការធ្វើបច្ចុប្បន្នភាពឧបករណ៍ Android របស់អ្នកឱ្យទាន់សម័យអាចជួយការពារប្រឆាំងនឹងមេរោគ KoSpy បាន។ អ្នកនាំពាក្យក្រុមហ៊ុន Google បានណែនាំថា កម្មវិធី KoSpy ទាំងអស់ដែលត្រូវបានកំណត់អត្តសញ្ញាណដោយក្រុម Lookout ត្រូវបានលុបចេញពី Google Play និងថាគម្រោង Firebase ដែលដូចគ្នាក៏ត្រូវបានដកចេញផងដែរ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១២ ខែមីនា ឆ្នាំ២០២៥