អញ្ញត្តិថ្មីរបស់មេរោគ Konfety Android បានលេចចេញជារូបរាងជាមួយនឹងរចនាសម្ព័ន្ធ Malformed ZIP រួមជាមួយនឹងវិធីសាស្រ្តផ្សេងទៀត ដែលអនុញ្ញាតឱ្យវាអាចគេចចេញពីការវិភាគ និងការតាមចាប់។
មេរោគ Konfety បង្កើតជាកម្មវិធីស្របច្បាប់ ដោយត្រាប់តាមផលិតផលស្របច្បាប់ និងអាចរកបាននៅលើ Google Play ប៉ុន្តែមិនមានមុខងារណាមួយត្រូវបានសន្យាទេ (Promised)។ សមត្ថភាពរបស់មេរោគរួមមានបញ្ជូនអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រព្យាបាទ ជំរុញការដំឡើងកម្មវិធីដែលមិនចង់បាន និងការជូនដំណឹងពីកម្មវិធី Browser ក្លែងក្លាយ។ ផ្ទុយទៅវិញ វាទាញយក និងបង្ហាញការផ្សាយពាណិជ្ជកម្មដែលត្រូវបានលាក់ដោយប្រើ CaramelAds SDK និងលួចព័ត៌មាចេញដូចជា កម្មវិធីដែលបានដំឡើង ការកំណត់បណ្តាញណិតវើក និង System Information។
បើទោះជា មេរោគ Konfety មិនមែនជាកម្មវិធីមេរោគ (Spyware) ឬ RAT Tool វាមាន Encrypted Secondary DEX file នៅក្នុង APK ដែលត្រូវបានឌីគ្រីប និងផ្ទុកនៅពេលដំណើរការ ដោយមានសេវាកម្មលាក់ដែលបានប្រកាសនៅក្នុង AndroidManifest File។ វាបន្សល់ទុកទ្វារបើកសម្រាប់ការដំឡើង Modules បន្ថែមឥតដាច់ ដែលអនុញ្ញាតការបញ្ជូនសមត្ថភាពគ្រោះថ្នាក់បន្ថែមទៀតលើការឆ្លងមេរោគបច្ចុប្បន្ន។
តិចនិកគេចពីការតាមចាប់៖ អ្នកស្រាវជ្រាវនៅ Mobile Security Platform ឈ្មោះ Zimperium បានរកឃើញ និងវិភាគលើអញ្ញត្តិមេរោគ Konfety ថ្មី និងរាយការណ៍ថា មេរោគនេះប្រើវិធីសាស្រ្តច្រើនដើម្បីបន្លំភាពពិត និងសកម្មភាពរបស់វា។ មេរោគ Konfety បញ្ឆោតជនរងគ្រោះឱ្យដំឡើងវា ដោយកូពីឈ្មោះ និង Brand កម្មវិធីស្របច្បាប់ដែលអាចរកបាននៅលើ Google Play និងចែកចាយវាតាមរយៈ Third-party Stores ដែលជាតិចនិកដែលអ្នកស្រាវជ្រាវនៅ Human ហៅថា ‘Evil Twin’ ឬ ‘Decoy Twin’។ ប្រតិបត្តិករមេរោគកំពុងតែផ្សព្វផ្សាយខ្លួនវានៅលើ Third-party App Stores។ ទីផ្សារទាំងនេះតែងតែជាកន្លែងដែលអ្នកប្រើប្រាស់ស្វែងរកវត្ថុ “Free” និងជាកម្មវិធីល្អៗ ដោយសារពួកគេចង់គេចពីការតាមដានរបស់ Google ដែល Android មិនមានការគាំទ្ររយៈពេលវែង ឬមិនមានដំណើរការ Google Services។ Dynamic Code Loading ជាកន្លែងដែល Logic ព្យាបាទត្រូវបានលាក់នៅក្នុង Encrypted DEX File ដែល Load នៅពេលដំណើរការ និងជាយន្តការលាក់បាំង រួមទាំងការគេចចេញដ៏មានប្រសិទ្ធភាពមួយទៀតដែលមេរោគ Konfety ប្រើ។ យុទ្ធសាស្រ្តប្រឆាំងនឹងការវិភាគមិនធម្មតាមួយទៀតនៅក្នុង Konfety គឺដើម្បីរៀបចំឯកសារ APK តាមរបៀបដែលធ្វើឱ្យមានការច្រលំ ឬបំបែកការវិភាគ និង Reverse Engineering Tools។
ដំបូង APK កំណត់ General Purpose Bit Flag to ‘bit o’ ជាសញ្ញាដែលឯកសារត្រូវបានអ៊ីនគ្រីប បើទោះជាវាមិនត្រូវបានក្តី។ រឿងនេះបង្កឱ្យមាន Passwords Prompts នៅពេលព្យាយាមពិនិត្យមើលឯកសារ រារាំង ឬពន្យារពេលការចូលប្រើ APK’s Contents។ ទី២ ឯកសារសំខាន់ៗនៅក្នុង APK ត្រូវបានប្រកាសដោយប្រើ BZIP Compression (oxoooC) ដែលមិនត្រូវបាន Support ដោយការប្រើប្រាស់ Tools សម្រាប់វិភាគដូចជា APKTool និង JADX នោះទេ ហើយជាលទ្ធផលគឺបរាជ័យក្នុងការវិភាគ។
ខណៈ Android មិនខ្វល់ប្រកាសពីវិធីសាស្រ្ត ហើយត្រលប់ទៅដំណើរការ Default Process ដើម្បីថែរក្សាស្ថិរភាពនោះ បានអនុញ្ញាតឱ្យកម្មវិធីព្យាបាទដំឡើង និងដំណើរការលើឧបករណ៍ដោយគ្មានបញ្ហា។ បន្ទាប់ពីការដំឡើង មេរោគ Konfety បានលាក់ App Icon របស់ខ្លួន ឈ្មោះ និងប្រើ GPS (Geofencing) ដើម្បីប្តូរឥរិយាបថតាមតំបន់របស់ជនរងគ្រោះ។
ភាពច្របូកច្របល់ផ្អែកលើការ Compression ត្រូវបានគេសង្កេតឃើញកាលពីមុន នៅក្នុងមេរោគ Android Malware ដូចដែលបានគូសបញ្ជាក់នៅក្នុងរបាយការណ៍ Kaspersky កាលពីខែមេសា ឆ្នាំ២០២៤ លើមេរោគ SoumniBot។ នៅក្នុងករណីនោះ Soumnibit បានប្រកាសវិធីសាស្រ្ត Compression មិនមានសុពលភាពនៅក្នុង AndroidManifest.xml ដែលបានប្រកាសពីទំហំឯកសារ និង Data Overlay ក្លែងក្លាយ ព្រមទាំងបានបំភាន់ Tool វិភាគដោយប្រើ Namespace Strings វែងខ្លាំង។ អ្នកប្រើប្រាស់ត្រូវបានណែនាំ ឱ្យជៀសវាងការដំឡើង APK Files ពី Store កម្មវិធី Android ភាគីទីបី និងប្រើប្រាស់កម្មវិធីដែលទុកចិត្តតែប៉ុណ្ណោះពីអ្នកចេញផ្សាយដែលអ្នកស្គាល់។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៥ ខែកក្កដា ឆ្នាំ២០២៥
