យុទ្ធនាការកម្មវិធីព្យាបាទ (Spyware) ថ្មីចំនួន២ ដែលអ្នកស្រាវជ្រាវហៅថា ProSpy និង ToSpy បានបញ្ឆោតអ្នកប្រើប្រាស់ Android ឱ្យ Upgrade ឬ Plugins ក្លែងក្លាយកម្មវិធីផ្ញើសារ Signal និង ToTok ដើម្បីលួចទិន្នន័យសម្ងាត់។
ដើម្បីបញ្ជូនឯកសារព្យាបាទឱ្យមើលទៅស្របច្បាប់ អ្នកវាយប្រហារបានចែកចាយពួកវាតាមរយៈគេហទំព័រ ដែលបានបន្លំជាវេទិកាផ្ញើសារទាំងពីរ។ Signal គឺជាកម្មវិធីផ្ញើសារដែលត្រូវបានអ៊ីនគ្រីប End-to-End ដែលមានអ្នកដោនឡូតប្រហែល ១០០លានដងនៅលើ Google Play។
ToTok ត្រូវបានអភិវឌ្ឍដោយក្រុមហ៊ុនបញ្ញាសប្បនិម្មិតដែលមានមូលដ្ឋាននៅអារ៉ាប់រួម G42 និងត្រូវបានដកចេញពី Store កម្មវិធី Apple និង Google នៅឆ្នាំ២០១៩ បន្ទាប់ពីការចោទប្រកាន់ថាជាឧបករណ៍ស៊ើបការណ៍របស់រដ្ឋាភិបាលអារ៉ាប់រួម។ បច្ចុប្បន្ន ToTok មានផ្តល់ជូនសម្រាប់ដោនឡូតពីគេហទំព័រផ្លូវការរបស់ខ្លួន និង Store កម្មវិធីភាគីទីបី។
ការលួច និងការរក្សាវត្តមាន៖ អ្នកស្រាវជ្រាវនៅក្រុមហ៊ុន ESET បានរកឃើញយុទ្ធនាការ ProSpy នៅខែមិថុនា ប៉ុន្តែពួកគេជឿថា សកម្មភាពនេះប្រហែលជាត្រូវបានចាប់ផ្តើមតាំងពីឆ្នាំ២០២៤មក។ ផ្អែកលើការវិភាគ យុទ្ធនាការព្យាបាទកំពុងតែមានគោលដៅលើអ្នកប្រើប្រាស់នៅអារ៉ាប់រួម។ នៅក្នុងអំឡុងនៃការស៊ើបអង្កេត ពួកគេបានប្រទះឃើញគ្រួសារកម្មវិធីព្យាបាទ (Spyware) ចំនួនពីរដែលមិនមាននៅក្នុងឯកសារ ដែលបន្លំជា Signal Encryption Plugin និង Pro Variant របស់កម្មវិធី ToTok។ ប្រតិបត្តិការនៃយុទ្ធនាការ Spyware បានចែកចែកឯកសារ APK ព្យាបាទតាមរយៈគេហទំព័រដែលបានបន្លំជាគេហទំព័រ Signal ផ្លូវការ (https://signal.ct.ws និង https://encryption-plug-in-signal.com-ae.net) និងហាង Samsung Galaxy Store (store.latestversion.ai និង https://store.appupdate.ai)។
សារព័ត៌មាន BleepingComputer បានព្យាយាមដំណើរការគេហទំព័រក្លែងក្លាយ ប៉ុន្តែភាគច្រើនពួកវាសុទ្ធតែ Offline ហើយមានគេហទំព័រមួយនោះបាននាំទៅកាន់គេហទំព័រ ToTok ផ្លូវការ។ នៅពេលប្រតិបត្តិការ គម្រូមេរោគ ProSpy ស្នើសុំសិទ្ធិដំណើរការបញ្ជីទាក់ទង (Contact List) សារ SMS និងឯកសារ ដែលជាប្រភេទសម្រាប់កម្មវិធីផ្ញើសារ (Message)។ នៅពេលដំណើរការនៅលើឧបករណ៍ (Device) មេរោគបានទាញយកទិន្នន័យដូចជា៖
- ព័ត៌មាន Device (Hardware, ប្រព័ន្ធប្រតិបត្តិការ និងអាសយដ្ឋាន IP)
- អត្ថបទ SMS និងបញ្ជីទាក់ទង (Contact List) ដែលបានរក្សាទុក
- ឯកសារ (សំឡេង ឯកសារ រូបភាព និងវីដេអូ)
- ឯកសារ ToTok Backup
- បញ្ជីកម្មវិធីដែលបានដំឡើង
ដើម្បីរក្សាការលាក់ខ្លួន Signal Encryption Plugin ប្រើ ‘Play Service’ Icon និង Label នៅលើ Home Screen។ ជាងនេះទៀត នៅពេលប៉ះ Icon Info Screen របស់កម្មវិធីសេវា Google Play ផ្លូវការនឹងបើក (Open)។ ដ្យាក្រាមខាងក្រោមពន្យល់ពីរបៀបការងារគ្រប់គ្រងរបស់មេរោគ ProSpy។ ការគំរាមកំហែងធ្វើឡើងដើម្បីជៀសវាងការសង្ស័យ ដោយការបញ្ជូនជនរងគ្រោះទៅកាន់គេហទំព័រដោនឡូតផ្លូវការ នៅពេលកម្មវិធីផ្លូវការបាត់ពីលើឧបករណ៍។
យុទ្ធនាការមេរោគ ToSpy ប្រហែលជាបង្កើតឡើងនៅឆ្នាំ២០២២៖ យោងតាមអ្នកស្រាវជ្រាវបានឱ្យដឹងថា យុទ្ធនាការ ToSpy កំពុងតែបន្ត ដោយផ្អែកលើស្ថានភាពដ៏សកម្មរបស់ហេដ្ឋារចនាសម្ព័ន្ធ C2 ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ ESET កត់សម្គាល់ថា សកម្មភាពនេះប្រហែលជាកើតឡើងនៅឆ្នាំ២០២២ នៅពេលពួកគេបានប្រទះឃើញសូចនាករចម្រុះដែលបង្ហាញនៅពេល Developer Certificate បានបង្កើតឡើងនៅខែឧសភា ឆ្នាំ២០២២ ដែល Domain បានប្រើសម្រាប់ការចែកចាយ និង C2 បានចុះឈ្មោះនៅខែឧសភា ឆ្នាំ២០២២នោះ ហើយគម្រូ (Samples) បាន Upload Platform ស្គេនមេរោគ VirusTotal នៅខែមិថុនា។
កម្មវិធី ToTok ក្លែងក្លាយបានចែកចាយនៅក្នុងយុទ្ធនាការនេះមានបំណងឱ្យជនរងគ្រោះផ្តល់សិទ្ធិប្រើប្រាស់បញ្ជី Contact និង Storage ព្រមទាំងបានប្រមូលទិន្នន័យដែលពាក់ព័ន្ធ ដោយផ្តោតលើឯកសារ រូបភាព វីដេអូ និង ToTok Chat Backup (.ttkmbackup files)។ របាយការណ៍របស់ ESET កត់សម្គាល់ដែរថា ទិន្នន័យដែលបានទាញយកដំបូងត្រូវបានអ៊ីនគ្រីប ដោយប្រើ AES Symmetric Encryption Algorithm នៅក្នុង CBC Mode។ សម្រាប់ការលួច មេរោគ ToSpy ដាក់ចេញនូវកម្មវិធី ToTok ពិតប្រាកដ នៅពេលបើក ប្រសិនបើវាមាននៅលើឧបករណ៍។ ប្រសិនបើអត់មានកម្មវិធីនេះទេ មេរោគនេះព្យាយាមបើក Huawei AppGallery (ក៏ជាកម្មវិធីផ្លូវការ ឬ Default Web Browser) ដូច្នេះអ្នកប្រើប្រាស់អាចទទួលបាន ToTok App ផ្លូវការ។
គ្រួសារមេរោគទាំងពីរប្រើយន្តការរក្សាវត្តមានចំនួន៣ នៅលើឧបករណ៍ឆ្លងមេរោគ៖
- កេងចំណេញលើ ‘AlarmManager’ Android System API ដើម្បី Restart ដោយស្វ័យប្រវត្តិប្រសិនបើវាត្រូវបានផ្អាក (Killed)។
- ប្រើសេវា Foreground ជាមួយនឹងការជូនដំណឹងជាប់លាប់ ដូច្នេះប្រព័ន្ធគិតថាវាជា ដំណើរការអាទិភាព
- ចុះឈ្មោះដើម្បីទទួលបាន BOOT_COMPLETED Broadcast Events ដូច្នេះវាអាច Restart Spyware នៅពេល Reboot ឧបករណ៍ឡើងវិញដោយមិនត្រូវការអន្តរាគមន៍ពីអ្នកប្រើប្រាស់
ESET បានចែករំលែកបញ្ជីសូចនាករនៃការគ្រប់គ្រង (IoCs) ដែលទាក់ទងនឹងយុទ្ធនាការ ProSpy និង ToSpy ប៉ុន្តែការចែកចាយនៅមិនទាន់បានបញ្ជាក់នៅឡើយទេ។ អ្នកប្រើប្រាស់ Android ត្រូវបានណែនាំឱ្យដោនឡូតកម្មវិធីចេញពីប្រភពផ្លូវការ ឬ Repositories ដែលទុកចិត្តតែប៉ុណ្ណោះ ឬចូលទៅកាន់គេហទំព័រ Publisher ដោយផ្ទាល់។ ពួកគេគួរតែប្រើប្រាស់សេវា Play Protect នៅលើឧបករណ៍របស់ពួកគេ ដើម្បីបិទការគំរាមកំហែងដែលបានដឹងមុនៗ។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០២ ខែតុលា ឆ្នាំ២០២៥
