មេរោគ Android ជំនាន់ថ្មី “Godfather” បង្កើតមជ្ឈដ្ឋាននិម្មិតដាច់ដោយឡែក (Isolated) នៅលើទូរស័ព្ទ សម្រាប់លួចទិន្នន័យគណនី និងបន្លំប្រតិបត្តិការផ្ទេរប្រាក់ពីកម្មវិធីធនាគារស្របច្បាប់។កម្មវិធីព្យាបាទទាំងនេះត្រូវបានដំណើរការនៅក្នុងមជ្ឈដ្ឋាននិម្មិតដែលត្រូវបានត្រួតពិនិត្យនៅលើឧបករណ៍ ដែលធ្វើចារកម្មតាមពេលវេលាជាក់លាក់ លួចអត្តសញ្ញាណ និងប្រតិបត្តិការផ្ទេរប្រាក់ខុសច្បាប់ នៅពេលរក្សាការបន្លំដែលមើលទៅដូចពិត។ តិចនិកនេះស្រដៀងគ្នានឹងមេរោគ FjordPhantom Android កាលពីចុងឆ្នាំ២០២៣ដែរ ដែលបានប្រើមជ្ឈដ្ឋាននិម្មិតដើម្បីប្រតិបត្តិការកម្មវិធីធនាគារ SEA នៅក្នុង Containers ដើម្បីគេចពីការតាមចាប់។
ទោះជាយ៉ាងណា ទំហំគោលដៅរបស់មេរោគ Godfather មានទំហំធំ ដែលមានគោលដៅលើធនាគារមិនតិចជាង ៥០០ ប្រាក់គ្រីបតូ និងកម្មវិធី E-commerce នៅទូទាំងពិភពលោក ដោយប្រើប្រព័ន្ធឯកសារនិម្មិត (a full virtual filesystem), Virtual Process ID, Intent Spoofing និង StubActivity។ យោងតាម Zimperium ដែលវិភាគលើបញ្ហានេះបានឱ្យដឹងថា កម្រិតនៃការឆបោកខ្ពស់ណាស់។ អ្នកប្រើប្រាស់មើលឃើញត្រឹមតែ Real App UI និងការការពារ Android ខ្វះខាតក្នុងផ្នែកប្រតិបត្តិការការពារការព្យាបាទ ដោយសារមានតែសកម្មភាពរបស់ម៉ាស៊ីនតែប៉ុណ្ណោះដែលត្រូវបានប្រកាសនៅក្នុង Manifest។
ការលួចទិន្នន័យនិម្មិត៖ មេរោគ Godfather មកជាទម្រង់នៃកម្មវិធី APK ដែលមានផ្ទុកក្របខណ្ឌនិម្មិតដែលបានបង្កប់ (Embedded Virtualization Framework) ជំរុញ Open-source tools ដូចជា VirtualApp Engine និង Xposed សម្រាប់បញ្ឆោត។ នៅពេលមានសកម្មភាពនៅលើឧបករណ៍ មេរោគឆែករកមើលកម្មវិធីគោលដៅដែលត្រូវបានដំឡើង ហើយនៅពេលវារកឃើញ វាចាប់ផ្តើមជំនួសខ្លួនវានៅក្នុងមជ្ឈដ្ឋាននិម្មិតរបស់វា និងប្រើ StubActivity សម្រាប់ដាក់ដំណើរការខ្លួនវានៅក្នុង Host Container។ StubActivity គឺជាសកម្មភាពដាក់ជំនួស (placeholder) ដែលប្រកាសនៅក្នុងកម្មវិធីដែលដំណើរការម៉ាស៊ីននិម្មិត (Virtualization Engine) (មេរោគ Malware) ដោយធ្វើសកម្មភាពដូចជា Shell ឬ Proxy សម្រាប់ដាក់ចេញ និងដំណើរការសកម្មភាពពីកម្មវិធីនិម្មិត (Virtualized App)។ មេរោគមិនមានផ្ទុក UI ឬ Logic ផ្ទាល់ខ្លួននោះទេ ហើយវាមានលក្ខណៈជំនួស និងបញ្ជូនបន្តទៅកម្មវិធី Host ដែលបញ្ឆោត Android ឱ្យគិតថា កម្មវិធីស្របច្បាប់កំពុងតែដំណើរការ ខណៈការពិតមេរោគស្ទាក់ចាប់ និងគ្រប់គ្រងលើឧបករណ៍សោះ។
នៅពេលជនរងគ្រោះដាក់ចេញដំណើរការកម្មវិធីធនាគារពិត ការអនុញ្ញាតសេវា Godfather’s Accessibility មានចេតនាស្ទាក់ចាប់ និងបញ្ជូនវាទៅកាន់ StubActivity នៅក្នុងកម្មវិធី Host ដែលចាប់ផ្តើមជំនាន់និម្មិតរបស់កម្មវិធីធនាគារនៅក្នុង Container។ អ្នកប្រើប្រាស់មើលឃើញផ្ទៃកម្មវិធីពិត ប៉ុន្តែព័ត៌មានសម្ងាត់ទាំងអស់ដែលពាក់ព័ន្ធនៅក្នុងសកម្មភាពរបស់ពួកគេអាចត្រូវបានលួចយ៉ាងងាយ។ តាមរយៈការប្រើ Xposed សម្រាប់ API Hooking មេរោគ Godfather អាចកត់ត្រាអត្តសញ្ញាណគណនី លេខសម្ងាត់ PINs សកម្មភាពផ្សេងៗ (Touch Events) និងទទួលយកការឆ្លើយតប Banking Backend។
មេរោគបង្ហាញអេក្រង់ជាប់សោក្លែងក្លាយ ដើម្បីបញ្ឆោតជនរងគ្រោះឱ្យបញ្ចូល PIN/លេខសម្ងាត់របស់ពួកគេ។ នៅពេលមេរោគប្រមូលបាន និងទាញយកទិន្នន័យទាំងអស់ហើយ វារង់ចាំពាក្យបញ្ជាពីប្រតិបត្តិករ ដើម្បីដោះសោឧបករណ៍ ប្រតិបត្តិការ UI Navigation បើកកម្មវិធី និងចាប់ផ្តើមទូទាត់ប្រាក់/ផ្ទេរប្រាក់ចេញពីក្នុងកម្មវិធីធនាគារពិត។ នៅក្នុងអំឡុងពេលនេះ អ្នកប្រើប្រាស់មើលឃើញអេក្រង់ក្លែងក្លាយ ‘Update’ ឬ Black Screen ដោយគ្មានការសង្ស័យទេ។
ពាក់ព័ន្ធនឹងការគំរាមកំហែង៖ ដំបូងមេរោគ Godfather បង្ហាញនៅក្នុងទម្រង់មេរោគ Android កាលពីខែមីនា ឆ្នាំ២០២១ ហើយត្រូវបានរកឃើញដោយ ThreatFabric និងមានការវិវត្តន៍ដ៏គួរឱ្យចាប់អារម្មណ៍តាំងពីពេលនោះមក។ ជំនាន់មេរោគ Godfather បង្កើតឱ្យមានបដិវត្តដ៏សំខាន់សម្រាប់គម្រូចុងក្រោយ ដែលត្រូវបានវិភាគដោយ Group-IB កាលពីចុងឆ្នាំ២០២២ ដែលមានគោលដៅលើកម្មវិធី ៤០០ នៅទូទាំង ១៦ប្រទេសដោយប្រើ HTML Login Screen បិទបាំងពីលើកម្មវិធីធនាគារ និងកម្មវិធី Crypto Exchange។
បើទោះជាយុទ្ធនាការ Zimperium ត្រូវបានរកឃើញថា មានគោលដៅលើកម្មវិធីធនាគារតួកគីជាច្រើនក្តី ប្រតិបត្តិករមេរោគ Godfather ប្រហែលជាជ្រើសយកដំណើរការលើ Subsets ផ្សេងទៀតនៃកម្មវិធីគោលដៅចំនួន ៥០០ ដើម្បីវាយប្រហារលើតំបន់ផ្សេងៗ។ ដើម្បីការពារខ្លួនពីមេរោគនេះ សូមអ្នកដោនឡូតកម្មវិធីចេញពី Google Play ឬ APKs ពីក្រុមហ៊ុនចេញផ្សាយណាដែលអ្នកទុកចិត្ត ដើម្បីធានាថា Play Protect ដំណើរការ និងយកចិត្តទុកដាក់លើការស្នើសុំការអនុញ្ញាត។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៩ ខែមិថុនា ឆ្នាំ២០២៥
