មេរោគទូរស័ព្ទដៃដ៏មានឥទ្ធិពល Malware Rotexy ចាប់ផ្តើមវាយប្រហារច្រើនជាង​៧០ ០០០ លើកជាមួយនឹងវិស័យធនាគារ

0

ក្រុមគ្រួសារមេរោគអេឡិចត្រូនិកចល័តថ្មីមានឈ្មោះ Rotexy​ ចាប់ផ្តើមធ្វើការវាយប្រហារច្រើនជាង ៧០០០ ដងក្នុងរយៈពេល ៣ ខែពីខែសីហាដល់ខែតុលាឆ្នាំ២០១៨។ មេរោគវិវត្តពីសារអេឡិចត្រូនិកដែលមានសកម្មភាពក្នុងឆ្នាំ២០១៤។ ការវាយតម្លៃ malware Rotexy ធ្វើឡើងក្នុងឆ្នាំ ២០១៤ និង ២០១៥ ហើយរឿសំខាន់វាប្រើតំណភ្ជាប់ដើម្បីលួចបន្លំអ្នកប្រើប្រាស់ដែលជម្រុញឱ្យមានការដំឡើងកម្មវិធីព្យាបាទនេះ។

មេរោគប្រើសេវាកម្ម Google Cloud Messaging (GCM), មេរោគក្នុងម៉ាស៊ីន C & C និងសារផ្ញើសារចូលដើម្បីទៅដល់ឧបករណ៍របស់ជនរងគ្រោះ។ មុខងារចម្បងរបស់មេរោគទូរស័ព្ទដៃនេះគឺ Trojan និង ransomware ដែលវិស័យធនាគារ ចែកចាយតាមឈ្មោះរបស់ AvitoPay.apk ។ វាប្រើប្រាស់ការទាញយកជាច្រើនពីវ៉ិបសាយព្យាបាទជាច្រើនរួមមាន youla9d6h.tk, prodam8n9.tk, prodamfkz.ml, avitoe0ys.tk, ល។

កម្មវិធីមេរោគ​ (malware) ចល័ត Rotexy នៅតែបន្តស្នើសុំសិទ្ធិជាអ្នកគ្រប់គ្រងចល័ត សូម្បីតែអ្នកប្រើបើកទូរស័ព្ទឡើងវិញដើម្បីសុវត្ថិភាពក៏ដោយ ហើយសូម្បីតែកម្មវិធីព្យាបាទទាំងនោះត្រូវគេលុបចោលក៏ដោយ។ មេរោគ Rotexy វាយប្រហារផ្តោតសំខាន់ទៅលើអ្នកប្រើប្រាស់ជនជាតិរុស្ស៊ីដែលមានរហូតដល់ ៩៨% នៃការចម្លងរោគរបស់ខ្លួននៅក្នុងប្រទេសរុស្ស៊ី ហើយវាក៏ចម្លងទៅអ្នកប្រើប្រាស់ក្នុងប្រទេសអ៊ុយក្រែន អាឡឺម៉ង់  ទួគី និងបណ្តាប្រទេសផ្សេងៗទៀតផងដែរ។

ដំណើរការឆ្លងមេរោគ Malware Rotexy Mobile

ដំបូង ពេលមេរោគចាប់ផ្តើមឆ្លង  មេរោគត្រួតពិនិត្យលើឧបករណ៍ថា តើបរិស្ថានបណ្តាញ sandbox មួយណាត្រូវគេរកឃើញ និងប្រទេសណាដែលជាប្រទេសជនរងគ្រោះ។ នៅពេលដែលមេរោគបញ្ចប់ការត្រួតពិនិត្យទាំងអស់ដោយជោគជ័យ ក្រោយមក Rotexy ចុះឈ្មោះជាមួយ GCM និងបើកដំណើរការ SuperService ដែលជួយពិនិត្យមើលសិទ្ធិគ្រប់គ្រងលើឧបករណ៍ដែលបន្តដំណើរការរៀងរាល់វិនាទី។ ក្រោយមក វាបង្ហាញសំណើកម្មវិធីដោយស្នើសិទ្ធិជាគោល(root) តាមរយៈការរង្វិលជុំមិនកំណត់ដើម្បីបង្ខំអ្នកប្រើឱ្យយល់ព្រម និងផ្ដល់សិទ្ធិឱ្យ។

យោងទៅតាមបញ្ជីសុវត្ថិភាព ប្រសិនបើមេរោគ Trojan detects ប៉ុនប៉ងដកហូតសិទ្ធិអ្នកគ្រប់គ្រងរបស់ខ្លួន  វាចាប់ផ្តើមបិទអេក្រង់ទូរស័ព្ទជាប្រចាំដោយព្យាយាមបញ្ឈប់សកម្មភាពរបស់អ្នកប្រើ។ ប្រសិនបើសិទ្ធិត្រូវដកហូតដោយជោគជ័យនោះ វាចាប់ផ្ដើមវដ្តនៃការស្នើសុំសិទ្ធិជាអ្នកគ្រប់គ្រង។

ក្នុងអំឡុងពេលមានដំណើរការផ្ទៃខាងក្រោយរបស់ Rotexy នៅក្នុងទូរស័ព្ទគោលដៅ  វាអាចបើក  reboot របសស់ទូរស័ព្ទ។ វាធ្វើការបញ្ចប់ប្រតិបត្ដិការរបស់ខ្លួនដោយការផ្ញើសារជាអក្សរមួយដោយប្រើកម្មវិធី – ក្នុងករណីនេះទូរស័ព្ទត្រូវផ្លាស់ប្តូរទៅជារបៀបស្ងាត់។

ក្រោយមក មេរោគប្រើមូលដ្ឋានទិន្នន័យ SQLite ដែលជាមូលដ្ឋានប្រើប្រាស់ដើម្បីរក្សាទុកទិន្នន័យដែលប្រមូលពីទូរស័ព្ទចល័ត និងព័ត៌មានអំពីម៉ាស៊ីន servers  C & C ។ Rotexy ទប់ស្កាត់គ្រប់សារ SMS ទាំងអស់ដែលចូលមក ហើយដំណើរការមេរោគតាមគំរូដែលវាទទួលពី C & C ។ ដូចគ្នានេះផងដែរនៅពេលផ្ញើសារជាអក្សរ មេរោគ Trojan ធ្វើឱ្យទូរស័ព្ទមានលក្ខណៈស្ងាត់ និងបិទអេក្រង់។ ដូច្នេះអ្នកប្រើប្រាស់មិនកត់សម្គាល់ថា សារ SMS ថ្មីមកដល់។ នៅពេលចាំបាច់ មេរោគTrojan ផ្ញើសារទៅលេខជាក់លាក់ដែលវាបញ្ជាក់ជាមួយព័ត៌មានដែលវាទទួលពីសារដែលវាបញ្ជូនទៅ។

ប្រសិនបើវាមិនទទួលការណែនាំណាមួយអំពីក្បួនដើម្បីដំណើរការលើសារដែលផ្ញើរចូលទេនោះ  វាគ្រាន់តែរក្សាទុកសារ SMS ទាំងអស់នៅក្នុង DB មូលដ្ឋានហើយផ្ទុកវាចូលទៅក្នុង C & C server ។ ធ្វើតាមពាក្យបញ្ជាត្រូវប្រើដោយមេរោគនេះប្រើប្រាស់ដើម្បីអនុវត្តសកម្មភាពផ្សេងៗ។

  • START, STOP, RESTART — start, stop, restart SuperService.
  • URL — update C&C address.
  • MESSAGE – ផ្ញើរសារ SMS ដែលមានផ្ទុកអត្ថបទច្បាស់លាស់មួយទៅឱ្យលេខជាក់លាក់មួយ
  • UPDATE_PATTERNS – ចុះឈ្មោះឡើងវិញនៅក្នុងផ្ទាំងគ្រប់គ្រង។
  • UNBLOCK –បើកទូរស័ព្ទ (ដកសិទ្ធិអ្នកគ្រប់គ្រងឧបករណ៍ពីកម្មវិធី)
  • UPDATE – ទាញយកឯកសារ APK ពី C & C ហើយដំឡើងវា។ ពាក្យបញ្ជានេះអាចត្រូវប្រើមិនមែនគ្រាន់តែដើម្បីអាប់ដេតកម្មវិធីនោះទេ ប៉ុន្តែវាត្រូវគេប្រើដើម្បីដំឡើងកម្មវិធីណាមួយផ្សេងទៀតនៅលើឧបករណ៍ដែលឆ្លងមេរោគ។
  • CONTACTS –CONTACTS_PRO – ផ្ញើសារដែលទទួលពី C & C ទៅទំនាក់ទំនងអ្នកប្រើទាំងអស់។
  • PAGE – URL ទំនាក់ទំនងដែលទទួលពី C & C ដោយប្រើសិទ្ធជាអ្នកប្រើដែលទទួលពី C & C ឬមូលដ្ឋានទិន្នន័យ
  • ទំនាក់ទំនង URL ដែលទទួលពី C&C ដោយប្រើប្រាស់ User-Agent value ដែលអាចទទួលពី C&C ឬពី local database
  • ALLMSG – ផ្ញើរ C&C SMSs ទាំងអស់ ដែលទទួល និងផ្ញើរដោយ user ដូចដែលគេរក្សាទុកក្នុងមេម៉ូរ៉ីទូរស័ព្ទ
  • ALLCONTACTS – ផ្ញើរលេខទំនាក់ទំនងទាំងអស់ពីមេម៉ូរ៉ីទូរស័ព្ទទៅ C&C.
  • ONLINE – ផ្ញើព័ត៌មានអំពីស្ថានភាពបច្ចុប្បន្នរបស់មេរោគ Trojan ទៅ C & C: ហើយវាមានសិទ្ធិជាអ្នកគ្រប់គ្រងលើឧបករណ៍ដែល HTML បង្ហាញថា អេក្រង់បើកឬបិទ។ ល។
  • NEWMSG – សរសេរ SMS ឱ្យទៅមេម៉ូរ៉ីដែលមានអត្ថបទ និងជាអ្នកផ្ញើរលេខពី C&C
  • CHANGE_GCM_ID – ប្តូរ GSM ID.
  • BLOCKER_BANKING_START – បង្ហាញ phishing HTML ផេចសម្រាប់ចូលមើលព័ត៌មានលំអិតរបស់កាតធនាគារ
  • BLOCKER_EXTORTIONIST_START – បង្ហាញ HTML ផេច អំពីមេរោគ
  • BLOCKER_UPDATE_START – បង្ហាញ HTML ផេចក្លែងក្លាយសម្រាប់ការអាប់ដេត
  • BLOCKER_STOP – បិទការបង្ហាញគ្រប់ផេច HTML ទាំងអស់

ដូចគ្នានេះផងដែរ មេរោគ Trojan បង្ហាញទំព័របន្លំមួយ (bank.html) ដែលជំរុញឱ្យអ្នកប្រើប្រាស់បញ្ចូលព័ត៌មានលំអិតតាមកាតធនាគាររបស់ពួកគេ។ ទំព័រនេះធ្វើត្រាប់តាមទំរង់ធនាគារស្របច្បាប់និងរារាំងអេក្រង់ឧបករណ៍រហូតដល់អ្នកប្រើបញ្ចូលព័ត៌មានគ្រប់ទាំងអស់។ វាថែមទាំងមានក្តារចុចនិម្មិតដែលអាចការពារជនរងគ្រោះពី keyloggers ។

មេរោគ Trojan បង្ខំឱ្យអ្នកប្រើប្រាស់បញ្ចូលព័ត៌មានត្រឹមត្រូវទាំងអស់ ហើយវាពិនិត្យព័ត៌មានលម្អិតទាំងអស់ដែលប្រឆាំងនឹងទិន្នន័យដែលវាទទួលរួចហើយ។ នៅពេលដែលជនរងគ្រោះបញ្ចូលទិន្នន័យទាំងអស់នោះវានឹងពិនិត្យប្រភពដើមនៃទិន្នន័យនិងដាក់ចូលទៅក្នុងម៉ាស៊ីនមេ C & C ៕

ប្រភពព័ត៌មាន៖

https://gbhackers.com/powerful-mobile-malware-rotexy/

 

LEAVE A REPLY

Please enter your comment!
Please enter your name here